Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

栏目: Java · 发布时间: 8年前

内容简介:Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

本文作者:i春秋作家——Anythin9

1.漏洞简介

当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的 恶意代码 将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

影响范围

Apache Tomcat 7.0.0 – 7.0.81

2.漏洞分析 2.1环境介绍 服务端 Windows7   IP: 192.168.116.128

攻击端 Kali Linux  IP:192.168.116.137

Apache Tomcat 7.0.79

2.2.  实验环境搭建

2.2.1 java 环境安装

1.官网下载jdk安装包 http://www.oracle.com/technetwork/java/javase/downloads/index.html

2.根据提示安装jdk

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

3.配置路径,我的电脑->属性->高级系统设置->环境变量->ath 添加jdk和jre路径

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

4.配置成功后如图:

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

2.2.2 Apache Tomcat安装1.下载地址:

http://www.liangchan.net/soft/download.asp?softid=9366&downid=8&id=9430

2.按照步骤提示,安装

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

3.安装成功后,访问 http://127.0.0.1:8080

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

2.2.3 配置Apache Tomcat服务器1.打开Tomcat安装目录的Tomcat7.0\conf\web.xml添加如下配置,在Tomcat7.0版本下默认配置是开启readonly的,需要手动配置readonly为false才可以进行漏洞利用

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

2.3 漏洞利用

2.3.1 远程命令执行漏洞利用

1.利用PUT方法上传构造好的shell

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

查看服务器上已经存在test.jsp

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

在构造上传方法时有三种

PUT /test.jsp%20

PUT /test.jsp/

通过构造特殊的后缀来绕过,Tomcat的检测,将jsp的 shell 上传到服务器中。

2.利用上传的shell来进行命令执行

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

攻击成功。

2.3.2 漏洞主要攻击特征

1.攻击方法 PUT

2.主要攻击方法 .jsp:DATA .jsp%20 .jsp/

3.入侵检测规则编写

3.1 CVE-2017-12615漏洞入侵检测规则

alert tcp any any -> any any (msg:” CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp/”;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

alert tcp any any -> any any (msg:”CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp:DATA”;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

alert tcp any any -> any any (msg:”CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp%20″;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

4. 入侵检测效果验证

4.1 CVE-2017-12615漏洞入侵检测验证

回放包cve-2017-12615.tcap

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测

>>>>>>黑客入门必备技能   带你入坑和逗比表哥们一起聊聊黑客的事儿他们说高精尖的技术比农药都好玩


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
Game Programming Patterns

Game Programming Patterns

Robert Nystrom / Genever Benning / 2014-11-2 / USD 39.95

The biggest challenge facing many game programmers is completing their game. Most game projects fizzle out, overwhelmed by the complexity of their own code. Game Programming Patterns tackles that exac......一起来看看 《Game Programming Patterns》 这本书的介绍吧!

码农工具
RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2026 码农网 粤ICP备17054400号-3