Tomcat简介

        tomcat是一个开源而且免费的isp服务器，默认端口:8080，属于轻量级应用服务器。它可以实现JavaWeb程序的装载，是配置JSP(Java Server Page)和JAVA系统必备的一款环境。在历史上也披露出来了很多的漏洞，这里我们讲几个经典的漏洞复现

一.CVE-2017-12615

Tomcat put方法任意文件写入漏洞

漏洞描述

        当 Tomcat运行在Windows操作系统时，且启用了HTTPPUT请求方法(例如，将readonly初始化参数由默认值设置为false)，攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

漏洞原理

        当在Tomcat的conf(配置目录下)/web.xml配置文件中添加readonly设置为false时，将导致该漏洞产生，(需要允许put请求)，攻击者可以利用PUT方法通过精心构造的数据包向存在漏洞的服务器里面上传 jsp一句话文件，从而造成远程命令执行，getshell等

影响范围

Apache Tomcat 7.0.0-7.0.79
Apache Tomcat 8.5.19

环境搭建

cd vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d

漏洞复现

1.brup抓包修改为put方式提交

        Tomcat允许适用put方法上传任意文件类型，但不允许isp后缀文件上传，因此我们需要配合 windows的解析漏洞.

PUT /shell.jsp%20

PUT /shell.jsp::$DATA

PUT /shell.jsp/

上传成功

用蚁剑连接

漏洞修复

设置readonly 为 true

二.后台弱口令部署war包

漏洞原理

        在tomcat8环境下默认进入后台的密码为 tomcat/tomcat，未修改造成未授权即可进入后台，或者管理员把密码设置成弱口令。

影响版本

全版本(前提是人家存在弱口令)

环境搭建

cd vulhub-master/tomcat/tomcat8
docker-compose up -d

漏洞复现

默认密码:tomcat/tomcat

1.制作WAR包
制作WAR包，将JSP木马压缩为ZIP格式，然后修改后缀为war就可以了

2.文件上传成功后，默认会在网站根目录下生成和war包名称一致得目录，然后目录中得)就是压缩前得 文件名。

三.CVE-2020-1938

Tomcat文件包含漏洞

漏洞原理

        由于Tomcat AJP协议设计上的缺陷，攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所 有Webapp⽬录下的任意⽂件，例如： 可以读取webapp配置⽂件或源码⽂件。 此外如果⽬标应⽤有⽂件上传的功能情况下，配合为⽂件包含漏洞利⽤GetShell。

影响版本

Apache

Tomcat 6 Tomcat 7系列 <7.0.100 Tomcat 8系列 < 8.5.51 Tomcat 9 系列 <9.0.31

环境搭建

cd vulhub-master/tomcat/CVE-2020-1938

docker-compose up -d

漏洞复现

tomcat默认的conf/server.xml中配置了2个Connector，⼀个为 8080 的对外提供的HTTP协议端⼝， 另 外⼀个就是默认的 8009 AJP协议端⼝，两个端⼝默认均监听在外⽹ip。

POC:

python CVE-2020-1938.py -p 8009 -f /WEB-INF/web.xml 1.15.136.212

漏洞修复

1.更新到最新版本

2.关闭AJP服务，修改Tomcat配置⽂件Service.xml,注释掉。

3.配置ajp配置中的secretRequired跟secret属性来限制认证。