内容简介:Apache Tomcat远程命令执行漏洞(CVE-2017-12615) 漏洞利用到入侵检测
本文作者:i春秋作家——Anythin9
1.漏洞简介
当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的 恶意代码 将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。
影响范围
Apache Tomcat 7.0.0 – 7.0.81
2.漏洞分析 2.1环境介绍 服务端 Windows7 IP: 192.168.116.128
攻击端 Kali Linux IP:192.168.116.137
Apache Tomcat 7.0.79
2.2. 实验环境搭建
2.2.1 java 环境安装
1.官网下载jdk安装包 http://www.oracle.com/technetwork/java/javase/downloads/index.html
2.根据提示安装jdk
3.配置路径,我的电脑->属性->高级系统设置->环境变量->ath 添加jdk和jre路径
4.配置成功后如图:
2.2.2 Apache Tomcat安装1.下载地址:
http://www.liangchan.net/soft/download.asp?softid=9366&downid=8&id=9430
2.按照步骤提示,安装
3.安装成功后,访问 http://127.0.0.1:8080
2.2.3 配置Apache Tomcat服务器1.打开Tomcat安装目录的Tomcat7.0\conf\web.xml添加如下配置,在Tomcat7.0版本下默认配置是开启readonly的,需要手动配置readonly为false才可以进行漏洞利用
2.3 漏洞利用
2.3.1 远程命令执行漏洞利用
1.利用PUT方法上传构造好的shell
查看服务器上已经存在test.jsp
在构造上传方法时有三种
PUT /test.jsp%20
PUT /test.jsp/
通过构造特殊的后缀来绕过,Tomcat的检测,将jsp的 shell 上传到服务器中。
2.利用上传的shell来进行命令执行
攻击成功。
2.3.2 漏洞主要攻击特征
1.攻击方法 PUT
2.主要攻击方法 .jsp:DATA .jsp%20 .jsp/
3.入侵检测规则编写
3.1 CVE-2017-12615漏洞入侵检测规则
alert tcp any any -> any any (msg:” CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp/”;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)
alert tcp any any -> any any (msg:”CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp:DATA”;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)
alert tcp any any -> any any (msg:”CVE-2017-12615″;flow:to_server,established;content:”UT”;nocase;content:”.jsp%20″;nocase;reference:cve,2017-12615;sid:2000015;rev:1;)
4. 入侵检测效果验证
4.1 CVE-2017-12615漏洞入侵检测验证
回放包cve-2017-12615.tcap
>>>>>>黑客入门必备技能 带你入坑和逗比表哥们一起聊聊黑客的事儿他们说高精尖的技术比农药都好玩
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Webshell入侵检测初探(一)
- Snort 2.9.16 发布,入侵检测系统
- 【公益译文】入侵检测消息交换格式(IDMEF)
- Snort 2.9.15 发布,入侵检测系统
- 基于博弈理论的入侵检测与响应模型综述
- 绝对不能错过的5款开源入侵检测工具
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
