17.[CVE-2017-12615]Tomcat任意文件上传漏洞

【CVE-2017-12615】 Tomcat任意文件上传漏洞

首先先贴出wooyun上的一个案例：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0107097.html

看到这个漏洞让我想到了IIS6.0任意文件上传的漏洞，不过现在大多都用工具，比如IIS put scan...

这里贴出IIS6.0任意文件上传案例：https://blog.csdn.net/qq_42357070/article/details/82183988

能文件上传，大多都是权限过滤不严....

漏洞分析：

我们来分析tomcat这个漏洞，需要首先允许tomcat进行PUT操作，问题也就在 /conf/web.xml：

<servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>0</param-value>
    </init-param>
    <init-param>
        <param-name>listings</param-name>
        <param-value>false</param-value>
    </init-param>
    <init-param>
        <param-name>readonly</param-name>
        <param-value>false</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

重点是readonly的那一项，因为其他的都是默认的，只有那个是自己添加的。

我们来看一下readonly这个选项是用来做什么的吧：

也是在这个web.xml文件中，已经注释的地方说明了默认情况下readonly是true，并且如果

是true的话，那么PUT和DELETE方法是被拒绝的，因此如果手动将readonly选项开启为false，

那么就能够通过PUT方法上传文件了。

漏洞复现：

我们开启tomcat漏洞环境，本次还是使用docker来搭建环境，开启环境：

使用burpsuite抓包，发送构造的的webshell：

当我们发送上图构造好的jsp马时发现爆出405错误，当我们重新构造：

PUT /joker.jsp  与  PUT /joker.jsp/ 一个成功一个失败

查阅资料发现，原来default servlet只能处理静态文件，而处理jsp文件是jspservlet，但是只有defaultservlet

有PUT上传逻辑，解决的办法是通过构造特殊的后缀名来进行绕过，从而上传jsp木马。

经过验证，可以在文件名后面添加斜杠 / 或者 %20来进行绕过，应为在windows下，%20(空格)和 / 都是不合法文件名。都会被去掉

我们尝试访问上传上去的jsp马：

可以看到木马被正常访问！

为了方便。一般情况下我们直接使用EXP快速利用。在这里贴上Bearcat师傅的CVE-2017-12615的EXP下载地址：

https://github.com/iBearcat/CVE-2017-12615

修复方案：

1、配置readonly和VirtualDirContext值为True或注释参数，禁止使用PUT方法并重启tomcat

注意：如果禁用PUT方法，对于依赖PUT方法的应用，可能导致业务失效。

2、根据官方补丁升级最新版本