CVE-2017-12615
当在Tomcat的conf(配置目录下)/web.xml配置文件中添加readonly设置为false时,将导致该漏洞产生,(需要允许put请求) , 攻击者可以利用PUT方法通过精心构造的数据包向存在漏洞的服务器里面上传 jsp⼀句话文件,从而造成远程命令执行,getshell等。
1.开启靶场,在首页抓包,改为PUT方式提交
Tomcat允许适用put方法上传任意文件类型,但不允许jsp后缀文件上传,因此我们需要配合 windows的解析漏洞,在要上传的jsp文件后加上/当作目录
在后面加上哥斯拉生成的jsp木马
2.访问上传的jsp文件,然后进行连接
后台弱口令部署war包
在tomcat8环境下默认进入后台的密码为 tomcat/tomcat ,未修改造成未授权即可进入后台,或者管理员把密码设置成弱口令
1.开启靶场,把jsp木马压缩成zip文件,再把自拍文件改成war后缀
2.找到后台登录页面用弱口令登陆
3.上传war文件
4.上传成功
5.文件上传成功后,默认会在网站根目录下生成和war包名称⼀致得目录,然后目录中得木马就是压缩前的文件名。
6.连接成功
CVE-2020-1938
由于Tomcat AJP协议设计上的缺陷,攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有Webapp目录下的任意文件,例如:
可以读取webapp配置文件或源码文件。
此外如果目标应用有文件上传的功能情况下,配合为文件包含漏洞利用GetShell。
1.开启靶场,进入网址
2.下载2020-1938的poc
GitHub - sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read: Tomcat的文件包含及文件读取漏洞利用POCTomcat的文件包含及文件读取漏洞利用POC. Contribute to sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read development by creating an account on GitHub.
https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/
3.用python运行
python cve-2020-1938.py -p 8009 -f /WEB-INF/web.xml xxx.xxx.xxx.xxx
-p (有缺陷的端口,开启靶场发现的端口)
xxx.xxx.xxx.xxx 文件地址
运行后就可以看到文件的内容