Tomcat任意文件上传漏洞以及环境配置

0x00

安装Tomcat需要配置Java环境，因为Tomcat好像是用Java写的，主要是需要用到jre

0x01

在Windows下Tomcat的相关配置：
Tomcat版本：7.0.79
Tomcat运行环境：JDK 8.0

在运行Tomcat之前，需要配置环境变量
环境变量1：在系统变量中新建一个，变量名：JAVA_HOME，变量值：安装JDK8.0的目录路径

image.png

环境变量2：新建一个系统变量，变量名是CATALINA_HOME，变量值是Tomcat的目录路径

image.png

环境变量3：点击系统变量中的Path，然后添加一段%JAVA_HOME%\bin

image.png

TIPS：这里的路径都需要写绝对路径

检测是否配置成功：
进入Tomcat文件夹下的bin文件夹中，双击startup.bat，然后访问127.0.0.1:8080，出现tom猫的网页代表成功。

image.png

关于Linux下配置Tomcat 传送门

0x02

漏洞影响的tomcat版本为tomcat7.0.0-7.0.81版本

漏洞环境配置：
Tomcat文件夹下的/conf/web.xml文件，打开在114行插入以下内容

<init-param>
     <param-name>readonly</param-name>
     <param-value>false</param-value>
</init-param>

image.png

修改完成后需要重启Tomcat，重启的方式是双击Tomcat目录下的bin目录下的shutdown.bat，在点击start.bat。

Tomcat远程代码执行漏洞的编号是CVE-2017-12615
默认情况下readonly是true，并且如果是true的话，那么PUT和DELETE方法是被拒绝的。
当我们将readonly参数设置为false时，即可通过PUT方式创建一个JSP文件，并可以执行任意代码。

漏洞复现：
打开burp，准备进行抓包，访问Tomcat，抓包，然后放到repeater里面方便实验。

image.png

修改数据，上传文件

image.png
结果返回404，请求被拦截
image.png

1、NTFS文件流
2、文件名相关限制（如Windows中文件名不能以空格结尾）来绕过限制

绕过的方法可以在文件名后面加斜杠/也可以加%20空格。

加上%20（空格的URL编码），返回201，上传成功

image.png

去虚拟机里看一下

前排提示：Tomcat的网站根目录是tomcat/webapps/ROOT，上传的文件就是在这个ROOT目录底下

image.png

尝试访问成功

image.png

这里如果一直不成功的话可能是你修改包数据有问题

image.png

这里斜杠也是要删掉的，刚开始我也是一直返回404，不删掉是有问题的。

::$DATA，在文件名后面加这个也能绕过

0x03

防御方法：
不要修改readonly默认的true属性，一旦设为false就是允许用户使用PUT和deleate方法

更加详细的资料和payload：
详细资料