文章源自【字節脈搏社區】-字節脈搏實驗室html
做者-Jadorepython
掃描下方二維碼進入社區:git
Tomcat任意文件上傳漏洞CVE-2017-12615github
Tomcat安裝目錄下的配置文件web.xml中的org.apache.servlets.DefaultServlet方法下有該代碼則表示Tomcat已經開啓可PUT方法(readonly=false),致使咱們能夠往服務器寫文件:web
所以咱們能夠經過PUT方式上傳木馬docker
同時若是要防護該類漏洞將false改成true便可,即不容許DELETE和PUT操做shell
查看Tomcat版本知道存在遠程代碼執行apache
直接使用curl命令進行PUT上傳tomcat
利用這點能夠寫入jspwebshell安全
附上python檢測腳本:
Tomcat AJP 文件包含漏洞CVE-2020-1938
Ghostcat(幽靈貓) 是由長亭科技安全研究員發現的存在於 Tomcat 中的安全漏洞,因爲 Tomcat AJP 協議設計上存在缺陷,攻擊者經過 Tomcat AJP Connector 能夠讀取或包含 Tomcat 上全部 webapp 目錄下的任意文件,例如能夠讀取 webapp 配置文件或源代碼。此外在目標應用有文件上傳功能的狀況下,配合文件包含的利用還能夠達到遠程代碼執行的危害。
Tomcat AJP Connector
Tomcat Connector 是 Tomcat 與外部鏈接的通道,它使得 Catalina 可以接收來自外部的請求,傳遞給對應的 Web 應用程序處理,並返回請求的響應結果。
默認狀況下,Tomcat 配置了兩個 Connector,它們分別是 HTTP Connector 和 AJP Connector:
HTTP Connector:用於處理 HTTP 協議的請求(HTTP/1.1),默認監聽地址爲 0.0.0.0:8080 AJP Connector:用於處理 AJP 協議的請求(AJP/1.3),默認監聽地址爲 0.0.0.0:8009
HTTP Connector 就是用來提供咱們常常用到的 HTTP Web 服務。而 AJP Connector,它使用的是 AJP 協議(Apache Jserv Protocol),AJP 協議能夠理解爲 HTTP 協議的二進制性能優化版本,它能下降 HTTP 請求的處理成本,所以主要在須要集羣、反向代理的場景被使用。
查看8009端口是否開啓,即AJP服務
驗證漏洞存在可使用xray:
https://github.com/chaitin/xray
附上檢測EXP:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
命令:python3 CNVD-2020-10487-Tomcat-Ajp-lfi.py -p 8009 -f WEB-INF/web.xml
Tomcat8+ 弱口令 && 後臺getshell漏洞
Tomcat支持在後臺部署war文件,能夠直接將webshell部署到web目錄下。其中,欲訪問後臺,須要對應用戶有相應權限。
Tomcat7+權限分爲:
manager(後臺管理)
manager-gui 擁有html頁面權限
manager-status 擁有查看status的權限
manager-script 擁有text接口的權限,和status權限
manager-jmx 擁有jmx權限,和status權限
host-manager(虛擬主機管理)
admin-gui 擁有html頁面權限
admin-script 擁有text接口權限
在conf/tomcat-users.xml文件中配置用戶的權限:
命令:
docker exec -ti tomcat8_tomcat_1 /bin/bash
可見,用戶tomcat擁有上述全部權限,密碼是tomcat。
正常安裝的狀況下,tomcat8中默認沒有任何用戶,且manager頁面只容許本地IP訪問。只有管理員手工修改了這些屬性的狀況下,才能夠進行攻擊。
訪問http://192.168.42.128:8080/manager/html,tomcat-tomcat進行登陸
上傳war包中1.jsp內容以下:
訪問http://192.168.42.128:8080/2/1.jsp?pwd=a&cmd=whoami便可
通知!
公衆號招募文章投稿小夥伴啦!只要你有技術有想法要分享給更多的朋友,就能夠參與到咱們的投稿計劃當中哦~感興趣的朋友公衆號首頁菜單欄點擊【商務合做-我要投稿】便可。期待你們的參與~
記得掃碼
關注咱們
本文分享自微信公衆號 - 字節脈搏實驗室(zijiemaiboshiyanshi)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。