漏洞介绍
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)当存在漏洞的Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT请求方法,恶意访问者通过构造的请求向服务器上传包含任意代码的 JSP 文件,造成任意代码执行,危害十分严重。
影响范围
Apache Tomcat 7.0.0 - 7.0.81
不受影响的版本
Apache Tomcat 8.x
Apache Tomcat 9.x
漏洞分析
添加readonly,并设置为false,默认是true,就可以通过put上传恶意文件。
漏洞复现
tomcat 7.0.81使用burpsuit抓包进行漏洞验证:
**.jsp正确写法:/**.jsp/,然后将get改成put!!!!
成功插入3.jsp。且能成功访问。
成功插入6.jsp,且能成功访问 net userburpsuit抓包复现成功!
使用python poc进行复现:
输入命令:python exp.py 10.10.10.17:8080
生成shell地址,每次为随机
访问:http://10.10.10.17:8080/1566979354.jsp?&pwd=023&cmd=ipconfig
如上,成功复现。
漏洞修复:
1.不允许DELETE和PUT操作,将readonly设置为true。
2.根据官方补丁升级最新版本。
网友评论