环境讲解
Vulfocus
Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。
部署Vulfocus
拉取vulfocus镜像
docker pull vulfocus/vulfocus:latest
运行vulfocus
docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.132.144 vulfocus/vulfocus
#如果端口被占用,则命令执行不成功
-v /var/run/docker.sock:/var/run/docker.sock 为 docker 交互连接。
-e DOCKER_URL 为 Docker 连接方式,默认通过 unix://var/run/docker.sock 进行连接,也可以通过 tcp://xxx.xxx.xxx.xxx:2375 进行连接(必须开放 2375 端口)。
-v /vulfocus-api/db.sqlite3:db.sqlite3 映射数据库为本地文件。
-e VUL_IP=xxx.xxx.xxx.xxx 为 Docker 服务器 IP ,不能为 127.0.0.1
Vulfocus登录
默认账户密码为 admin/admin
安装靶场
这里我们需要安装的是tomcat-cve_2017_12615
启动靶场
漏洞介绍
- Tomcat 远程代码执行漏洞,编号:CVE-2017-12615
- Tomcat配置文件web.xml中,servlet配置了readonly=fasle时,会引发任意文件上传漏洞。
- readonly参数默认是true,即不允许delete和put操作,所以通过XMLHttpRequest对象的put或者delete方法访问就会报告http 403错误。但很多时候为了支持REST服务,会设置该属性为false。将 readonly 参数设置为 false 时,即可通过 PUT 方式创建一个 JSP 文件,并可以执行任意代码。
漏洞复现
抓包,修改方式为OPTIONS,发现允许PUT方法
现在访问Tomcat服务,抓包,对包进行一些修改。
将GET改成PUT 在包下方添加webshell木马
为了方便查看效果,右键,选择send tto repeater。
在repeater中发包
提示404请求被拦截
方法一 在文件名后面添加斜杠 / 来进行绕过
方法二: 在文件名后面添加 %20 来进行绕过
方法三:在文件名后面添加 ::$DATA来进行绕过
- NTFS 文件流
- 文件名相关限制(如Windows中文件名不能以空格结尾)来绕过限制返回201说明文件已经上传成功。
访问我们上传的文件,发现里面的代码已经被执行
通过webshell管理工具连接