本文讲的是Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass,
(注:图片来源于网络)
Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码。
漏洞概述
信息泄露漏洞(CVE-2017-12616)
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。
远程代码执行漏洞(CVE-2017-12615)
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
漏洞危害
泄露用户代码数据,或用户服务器被攻击者控制
影响版本
1、信息泄露漏洞(CVE-2017-12616)影响:Apache Tomcat 7.0.0 – 7.0.80
2、 远程代码执行漏洞(CVE-2017-12615)影响: Apache Tomcat 7.0.0 – 7.0.79
CVE-2017-12615复现
根据描述,在 Windows 服务器下,将 readonly 参数设置为 false 时,即可通过 PUT 方式创建一个 JSP 文件,并可以执行任意代码。
通过阅读 conf/web.xml 文件,可以发现:
默认 readonly 为 true,当 readonly 设置为 false 时,可以通过 PUT / DELETE 进行文件操控。
配置 readonly 为 false:
启动 Tomcat,利用 PUT 请求创建文件:
提示 404。通过描述中的 Windows 受影响,可以结合 Windows 的特性。其一是 NTFS 文件流,其二是文件名的相关限制(如 Windows 中文件名不能以空格结尾)来绕过限制:
访问发现可以正常输出:
分析
Tomcat 的 Servlet 是在 conf/web.xml 配置的,通过配置文件可知,当后缀名为 .jsp 和 .jspx 的时候,是通过JspServlet处理请求的:
可以得知,“1.jsp ”(末尾有一个和空格)并不能匹配到 JspServlet,而是会交由DefaultServlet去处理。当处理 PUT 请求时:
会调用resources.bind:
dirContext 为FileDirContext:
调用 rebind创建文件:
又由于 Windows 不允许“ ”作为文件名结尾,所以会创建一个 .jsp 文件,导致代码执行。
Bypass 分析
然而,经过黑盒测试,当 PUT 地址为/1.jsp/时,仍然会创建 JSP,会影响 Linux 和 Windows 服务器,并且 Bypass 了之前的补丁,分析如下。
在进入 bind 函数时,会声明一个 File 变量:
进入 File 后,会对 name 进行 normalize
最后得到的 path 就是没有最后 / 的 path 了:
原文发布时间为:2017年9月20日