0x00
安装Tomcat需要配置Java环境,因为Tomcat好像是用Java写的,主要是需要用到jre
0x01
在Windows下Tomcat的相关配置:
Tomcat版本:7.0.79
Tomcat运行环境:JDK 8.0
在运行Tomcat之前,需要配置环境变量
环境变量1:在系统变量中新建一个,变量名:JAVA_HOME,变量值:安装JDK8.0的目录路径
image.png
环境变量2:新建一个系统变量,变量名是CATALINA_HOME,变量值是Tomcat的目录路径
image.png
环境变量3:点击系统变量中的Path,然后添加一段%JAVA_HOME%\bin
image.png
TIPS:这里的路径都需要写绝对路径
检测是否配置成功:
进入Tomcat文件夹下的bin文件夹中,双击startup.bat,然后访问127.0.0.1:8080,出现tom猫的网页代表成功。
image.png
0x02
漏洞影响的tomcat版本为tomcat7.0.0-7.0.81版本
漏洞环境配置:
Tomcat文件夹下的/conf/web.xml文件,打开在114行插入以下内容
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>
修改完成后需要重启Tomcat,重启的方式是双击Tomcat目录下的bin目录下的shutdown.bat,在点击start.bat。
Tomcat远程代码执行漏洞的编号是CVE-2017-12615
默认情况下readonly是true,并且如果是true的话,那么PUT和DELETE方法是被拒绝的。
当我们将readonly参数设置为false时,即可通过PUT方式创建一个JSP文件,并可以执行任意代码。
漏洞复现:
打开burp,准备进行抓包,访问Tomcat,抓包,然后放到repeater里面方便实验。
image.png
修改数据,上传文件
image.png
结果返回404,请求被拦截
image.png
1、NTFS文件流
2、文件名相关限制(如Windows中文件名不能以空格结尾)来绕过限制
绕过的方法可以在文件名后面加斜杠/也可以加%20空格。
加上%20(空格的URL编码),返回201,上传成功
image.png
去虚拟机里看一下
前排提示:Tomcat的网站根目录是tomcat/webapps/ROOT,上传的文件就是在这个ROOT目录底下
尝试访问成功
image.png
这里如果一直不成功的话可能是你修改包数据有问题
image.png
这里斜杠也是要删掉的,刚开始我也是一直返回404,不删掉是有问题的。
::$DATA,在文件名后面加这个也能绕过
0x03
防御方法:
不要修改readonly默认的true属性,一旦设为false就是允许用户使用PUT和deleate方法