TomCat中间件漏洞复现

前言

在渗透测试过程中,遇到php的站相对多一点,所以对apache了解的也多一点。TomCat中间件的站了解的比较少一点,这是自己第一次搭建环境测试漏洞,所以在自己摸索的过程中遇到的坑比较多一点。我会把自己的坑都写出来,希望可以帮助到大家。

实验环境搭建

Tomcat的安装(windows下安装)

Java环境安装

JDK安装

官网下载jbk安装包:https://www.oracle.com/technetwork/java/javase/downloads/index.html

 

 

 

 

 

解压出来按照提示安装,并配置环境变量。成功以后如图所示:

 

 

 

Apache Tomcat7.0 安装

下载地址:http://www.liangchan.net/soft/download.asp?softid=9366&downid=8&id=9430

全部安照默认设置下一步就行

 

 

 

 

 

 

 

这需要注意一下:是java下的jre目录,选错了安装不了。安装好了直接访问:http://locahost:8080 如下图所示

 

 

 

漏洞复现

Tomcat 远程代码执行漏洞(CVE-2017-12615)

漏洞产生原因

当在Tomcat的conf(配置目录下)/web.xml配置文件中添加readonly设置为false时,将导致该漏洞产生,(需要允许put请求)

 配置文件修改前后对比(这里需要注意一下) 修改前:

 

 

 

 

 

默认 readonly 为 true,当 readonly 设置为 false 时,可以通过 PUT / DELETE 进行文件操控。需要手动配置readonly为false才可以进行漏洞利用。修改后:

 

 

 

修改配置文件后,保存重启。

PUT协议(方法):PUT方法是HTTP请求方法中的一中。此方法用于请求服务器把请求中的实体储存在请求资源下,如果请求资源已经在服务器中存在,那么将会用此请求中的数据替换原先的数据,作为指定资源的最新修改版。如果请求指定的资源不存在,将会创建这个资源,且数据位请求正文。

漏洞影响版本

Apache Tomcat 7.0.0 – 7.0.81

漏洞危害

导致服务器被远程代码执行

漏洞复现

直接访问url:http://127.0.0.1:8088/ 使用burpsuite抓包:直接使用PUT提交shell.jsp返回404。(我在这块干了一件比较蠢的事)

  对比图,修改前正常情况下:

 

 

 

  修改后的图:(直接抓包把GET改成PUT)

 

 

 

需要对文件名构造进行绕过,目前有三种绕过方式:

 

 

 

上传的对比图,错误的图:(这边浪费了很多时间,刚开始一直找不到原因)

 

 

 

上传成功,如图所示:(put协议要大写,我说一直为什么不行)

 

 

 

查看:

 

 

木马写入成功,菜刀连接即可。

 

Tomcat远程部署漏洞

漏洞产生

这是JSP/PHP网站远程部署的一个工具,管理员只需要远程上传一个WAR格式的文件,便可以发布到网站,方便了开发人员部署代码的同时,也为黑客上传木马敞开了大门。

漏洞检测

通过访问:Http://localhost:端口/manager 管理地址,尝试弱口令或默认口令,若能登陆成功,则存在此漏洞。

 

 

 

漏洞复现

  1. 通过弱密码登录管理界面

 

 

 

  1. 上传war包

 

 

 

  1. 然后直接访问即可getshell

 

 

 

漏洞危害

入侵者可以通过构造war进行上传木马文件,从而控制服务器。

漏洞修复

升级tomcat 提升密码强度 安装相应的防护软件 等等

Tomcat反序列化漏洞(CVE-2016-8735)

实验环境搭建(没成功)

Apache Tomcat 8.5.2安装

Tomcat下载地址:http://tomcat.apache.org/

 

 

 

安装8.0版本的

 

 

 

找到自己需要的版本

 

 

 

点击bin

 

 

 

找到要下载的版本

 

 

 

直接下载解压到本地就可以了(免安装)。

然后是运行Tomcat,第一种方法是设置环境变量在cmd中运行startup.bat批处理文件;我用的是第二种方法,在apache-tomcat-8.5.2\bin下运行cmd命令框,运行startup.bat。如图所示:

报错了,原因是没有jdk的环境变量

 

 

 

解决方法:(我从网上找的原因和解决方法写的很清楚)

https://blog.csdn.net/zhangchao19890805/article/details/50646644

 

 

 

如果端口冲突可以修改web端口,conf->server.xml大约在69行。如图所示:

 

 

 

一切准备好了以后,在cmd命令框运行startup.bat。如图所示会弹出一个Tomcat的运行框,不要关闭。直接在浏览器打开就行了。

 

 

 

 

 

 

服务启动成功。

Jdk1.7.0_80安装(前面说过了)

漏洞描述

该漏洞与之前Oracle发布的mxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)相关,是由于使用了JmxRemoteLifecycleListener的监听功能所导致。而在Oracle官方发布修复后,Tomcat未能及时修复更新而导致的远程代码执行。

该漏洞所造成的最根本原因是Tomcat在配置JMX做监控时使用了JmxRemoteLifecycleListener的方法。

漏洞影响版本

ApacheTomcat 9.0.0.M1 到9.0.0.M11

ApacheTomcat 8.5.0 到8.5.6

ApacheTomcat 8.0.0.RC1 到8.0.38

ApacheTomcat 7.0.0 到7.0.72

ApacheTomcat 6.0.0 到6.0.47

漏洞利用条件

外部需要开启JmxRemoteLifecycleListener监听的10001和10002端口,来实现远程代码执行。

漏洞复现

所需环境工具包:

catalina-jmx-remote.jar:

https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.2/bin/extras/catalina-jmx-remote.jar

groovy-2.3.9.jar:

http://central.maven.org/maven2/org/codehaus/groovy/groovy/2.3.9/groovy-2.3.9.jar

ysoserial.jar:

https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar

在进行漏洞复现之前我们需要配置几点如下:

conf/server.xml中第30行中配置启用JmxRemoteLifecycleListener功能监听的端口:(自己手动添加,注意不要端口冲突)

<Listener className="org.apache.catalina.mbeans.JmxRemoteLifecycleListener" rmiRegistryPortPlatform="1001" rmiServerPortPlatform="1002"/>

 

 

 

配置好jmx的端口后,我们在tomcat版本所对应的extras/目录下来下载catalina-jmx-remote.jar以及下载groovy-2.3.9.jar两个jar包。下载完成后放至在lib目录下。

接着我们再去bin目录下修改catalina.bat脚本。在ExecuteThe Requested Command注释前面添加这么一行。(手动添加,注意空格)

set CATALINA_OPTS= -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false

 

 

 

主要配置的意思是设置启动tomcat的相关配置,不开启远程监听jvm信息。设置不启用他的ssl链接和不使用监控的账户。具体的配置可以去了解一下利用tomcat的jmx监控。

至此所有的配置成功保存后,我们运行tomcat。

顺带监听本地的1001和1002的RMI服务端口是否成功运行

 

 

 

监听成功,我们开始来构造Payload执行命令。首先老套路弹个计算器。

Payload: java -cp ysoserial-master-v0.0.4.jar ysoserial.exploit.RMIRegistryExploit localhost 10001 Groovy1 calc.exe

 

 

 

没弹成功(用的别人的图,但是步骤没错),前面的步骤都正确就是弹不出来。可能是我java环境的原因。