Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

栏目: Java · 发布时间: 8年前

内容简介：Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

本文作者：i春秋作家——Anythin9

1.漏洞简介

当 Tomcat运行在Windows操作系统时，且启用了HTTP PUT请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的 恶意代码 将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

影响范围

Apache Tomcat 7.0.0 – 7.0.81

2.漏洞分析 2.1环境介绍 服务端 Windows7 IP: 192.168.116.128

攻击端 Kali Linux IP:192.168.116.137

Apache Tomcat 7.0.79

2.2. 实验环境搭建

2.2.1 java 环境安装

1.官网下载jdk安装包 http://www.oracle.com/technetwork/java/javase/downloads/index.html

2.根据提示安装jdk

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

3.配置路径，我的电脑->属性->高级系统设置->环境变量->ath 添加jdk和jre路径

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

4.配置成功后如图：

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

2.2.2 Apache Tomcat安装1．下载地址：

http://www.liangchan.net/soft/download.asp?softid=9366&downid=8&id=9430

2.按照步骤提示，安装

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

3.安装成功后，访问 http://127.0.0.1:8080

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

2.2.3 配置Apache Tomcat服务器1．打开Tomcat安装目录的Tomcat7.0\conf\web.xml添加如下配置，在Tomcat7.0版本下默认配置是开启readonly的，需要手动配置readonly为false才可以进行漏洞利用

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

2.3 漏洞利用

2.3.1 远程命令执行漏洞利用

1.利用PUT方法上传构造好的shell

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

查看服务器上已经存在test.jsp

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

在构造上传方法时有三种

PUT /test.jsp%20

PUT /test.jsp/

通过构造特殊的后缀来绕过，Tomcat的检测，将jsp的 shell 上传到服务器中。

2.利用上传的shell来进行命令执行

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

攻击成功。

2.3.2 漏洞主要攻击特征

1.攻击方法 PUT

2.主要攻击方法 .jsp:DATA .jsp%20 .jsp/

3．入侵检测规则编写

3.1 CVE-2017-12615漏洞入侵检测规则

alert tcp any any -> any any (msg:” CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp/”;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

alert tcp any any -> any any (msg:”CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp:DATA”;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

alert tcp any any -> any any (msg:”CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp%20″;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

4. 入侵检测效果验证

4.1 CVE-2017-12615漏洞入侵检测验证

回放包cve-2017-12615.tcap

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

>>>>>>黑客入门必备技能带你入坑和逗比表哥们一起聊聊黑客的事儿他们说高精尖的技术比农药都好玩

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

单元测试之道Java版

David Thomas、Andrew Hunt / 陈伟柱、陶文 / 电子工业 / 2005-1 / 25.00元

程序员修炼三部曲丛书包含了四本书，介绍了每个注重实效的程序员和成功团队所必备的一些工具。注重实效的程序员都会利用反馈来指导开发，并驱动个人的开发流程。编码的时候，最有用的反馈来自于“单元测试”。为了测试一座桥梁，不会只在晴朗的天气，开一辆汽车从桥中间穿过，就认为已经完成了对桥梁的测试。然而许多程序员却正在使用这种测试方法——把这种一次顺利通过称为“测试”。事实上，注重实效的程序员应......一起来看看《单元测试之道Java版》这本书的介绍吧!

码农工具

JS 压缩/解压工具

在线压缩/解压 JS 代码

HEX CMYK 转换工具

HEX CMYK 互转工具