cve-2020-9484 Tomcat session RCE复现以及tomcat踩坑

漏洞影响

10.0.0-M1至10.0.0-M4

9.0.0.0.M1至9.0.34

8.5.0至8.5.54

7.0.0至7.0.103

漏洞条件

1. tomcat 版本为

10.0.0-M1至10.0.0-M4

9.0.0.0.M1至9.0.34

8.5.0至8.5.54

7.0.0至7.0.103

2. 开启session
3. 存在文件上传（可以指定上传文件后缀为session并且知道上传文件路径）

漏洞复现

环境

centos7

tomcat 9.0.34

前期踩坑

centos安装tomcat9.0.34始终没有ipv4的8080开放一开始以为是server.xml配置问题，后来网上找到一篇文章（我忘了链接了），解决办法是在catalina.sh最后一行添加

JAVA_OPTS="$JAVA_OPTS -Djava.net.preferIPv4Stack=true -Djava.net.preferIPv4Addresses=true "

如果没有效果则在bin目录下新建setenv.sh文件并写入这句话。

过程

写入conf/context.xml 配置开启session持久化

下一步利用ysoserial生成session文件。

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections2 "touch /tmp/Bcdlbgm" > /tmp/Bcdlbgm.session

之后通过[VulApss][https://github.com/Medicean/VulApps/]中的s2靶场（只是需要模拟一个提交session的页面）

漏洞原理

本人太菜java一窍不通（），只是通过大哥们的文章和资料了解到java的session持久化是利用反序列化进行的，

总结

利用条件比较苛刻，但多少也是rce是吧。

个人tomcat系列漏洞复现的第一个。

参考文章

https://y4er.com/post/cve-2020-9484-tomcat-session-rce/

https://github.com/IdealDreamLast/CVE-2020-9484

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484