CVE-2017-12615 Tomcat远程命令执行漏洞

漏洞简介

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号：CVE-2017-12615和CVE-2017-12616，其中 远程代码执行漏洞（CVE-2017-12615） 当 Tomcat 运行在 Windows 主机上，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后，JSP 文件中的代码将能被服务器执行。

漏洞原理

org.apache.jasper.servlet.JspServlet：默认处理jsp，jspx文件请求，不存在PUT上传逻辑，无法处理PUT请求
org.apache.catalina.servlets.DefaultServlet：默认处理静态文件（除jsp，jspx之外的文件），存在PUT上传处理逻辑，可以处理PUT请求。
所以即使可以PUT一个文件到服务器但也无法直接PUT以jsp,jspx结尾文件，因为这些这些后缀的文件都是交由JspServlet处理的，它没法处理PUT请求。
但是当利用Windows特性绕过文件名检测机制时，tomcat并不认为其是jsp文件从而交由DefaultServlet处理，从而成功创建jsp文件

影响版本

Apache Tomcat 7.0.0 - 7.0.79（7.0.81修复不完全）

漏洞复现

环境搭建

cd /vulhub/tomcat/CVE-2017-12615
docker-compose up