tomcat7.x远程命令执行（CVE-2017-12615）漏洞漏洞复现

墨蓝 2024-04-07 11:07 93阅读 0赞

**tomcat7.x****远程命令执行(CVE-2017-12615)漏洞漏洞复现**

#### 一、漏洞前言 ####

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间，在一定条件下，攻击者可以利用这两个漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险

#### 二、漏洞名称 ####

CVE-2017-12615-远程代码执行漏洞

#### 三、危害等级: ####

高危

#### 四、漏洞描述: ####

**CVE-2017-12616****：信息泄露漏洞**   
当 Tomcat 中使用了 VirtualDirContext 时，攻击者将能通过发送精心构造的恶意请求，绕过设置的相关安全限制，或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 **CVE-2017-12615****：远程代码执行漏洞**   
当 Tomcat 运行在 Windows 主机上，且启用了 HTTP PUT 请求方法(例如，将 readonly 初始化参数由默认值设置为 false)，攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后，JSP 文件中的代码将能被服务器执行。  
通过以上两个漏洞可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。

五、漏洞利用条件和方式:  
CVE-2017-12615漏洞利用需要在Windows环境，且需要将 readonly 初始化参数由默认值设置为 false，经过实际测试，Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数，需要手工添加，默认配置条件下不受此漏洞影响。

CVE-2017-12616漏洞需要在server.xml文件配置参数，经过实际测试，Tomcat 7.x版本内默认配置无VirtualDirContext参数，需要手工添加，默认配置条件下不受此漏洞影响。

#### 六、漏洞影响范围: ####

CVE-2017-12616影响范围：Apache Tomcat 7.0.0 - 7.0.80  
CVE-2017-12615影响范围： Apache Tomcat 7.0.0 - 7.0.7

#### 七、漏洞复现 ####

##### 姿势一：python脚本的复现 #####

CVE-2017-12615漏洞复现：

1.测试环境为tomcat7.0.70

![501a4a6916d8b7b6c4a8c76c24362e7d.png][]

2.需要手动配置web.xml，开启http的put方法：

添加如下配置：

<init-param>

<param-name>readonly</param-name>

<param-value>false</param-value>

</init-param>

![13bce659bfde531f51f9aacde3e82e18.png][]

3.通过CVE-2017-12615.py即可上传shell:

![79265a84e3b9877e38e90ec5dff058f6.png][]

4.远程即可访问shell:

![ed092c8f23d454a349efb44685dbc566.png][]

注意：其利用脚本已上传到我的github中,https://raw.githubusercontent.com/backlion/demo/master/CVE-2017-12615.py

##### 姿势二：利用文件名后缀加::$DATA绕过上传 #####

通过burpsuit抓包，上传拦截get改成PUT方法，然后上传：

![535ee2e5e18c411fd8abc713775f076c.png][]

![1d3181994642032d575c497bb52823ab.png][]

##### 姿势三：利用在上传文件名后缀名后加/可绕过上传 #####

![eb759a9267a91b647177916609af4321.png][]

##### 姿势四：通过在上传文件后缀名加上%20可绕过 #####

![76af85dfceebce0fff9cc755bffe3dfc.png][]

##### 姿势五：通过在上传文件名后缀加上.可绕过上传 #####

![8b172d28ce9ac9ddb5a08fb69d777f2d.png][]

#### 八、漏洞修复建议 ####

根据业务评估配置readonly和VirtualDirContext值为Ture或注释参数，临时规避安全风险；

官方已经发布Apache Tomcat [7.0.81][] 版本修复了两个漏洞，建议升级到最新版本。

[501a4a6916d8b7b6c4a8c76c24362e7d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/74eda23084fe493881233c49e9bffac9.png
[13bce659bfde531f51f9aacde3e82e18.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/585ae17b9a904e18ae530c660fec8b99.png
[79265a84e3b9877e38e90ec5dff058f6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/d1c81a26710b4f9b805efec67817bcef.png
[ed092c8f23d454a349efb44685dbc566.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/35df6cf226fd4559905d6e936daffb49.png
[535ee2e5e18c411fd8abc713775f076c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/00f850f7a0804c04a2298fa89cb7e458.png
[1d3181994642032d575c497bb52823ab.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/073233197574413999a01d1f12a1673f.png
[eb759a9267a91b647177916609af4321.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/2add5a2817d246149373b039c3d5e1a8.png
[76af85dfceebce0fff9cc755bffe3dfc.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/49a0b582cbfe44beb77bdc729235ae26.png
[8b172d28ce9ac9ddb5a08fb69d777f2d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9cb7000b1e7e4b248b5d6c499434cd54.png
[7.0.81]: http://tomcat.apache.org/download-70.cgi?spm=5176.bbsr536282.0.0.uCIPzO&file=download-70.cgi