如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

发布时间:2021-12-20 21:46:53 作者:柒染
来源:亿速云 阅读:624

如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

1.漏洞简介

当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

影响范围

Apache Tomcat 7.0.0 - 7.0.81

2.漏洞分析2.1环境介绍服务端 Windows7   IP: 192.168.116.128

攻击端 Kali Linux  IP:192.168.116.137

Apache Tomcat 7.0.79

2.2.  实验环境搭建

2.2.1 java环境安装

1.官网下载jdk安装包http://www.oracle.com/technetwork/java/javase/downloads/index.html

2.根据提示安装jdk


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测


3.配置路径,我的电脑->属性->高级系统设置->环境变量->ath 添加jdk和jre路径

如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

4.配置成功后如图:


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

2.2.2 Apache Tomcat安装1.下载地址:

http://www.liangchan.net/soft/download.asp?softid=9366&downid=8&id=9430

2.按照步骤提示,安装

如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

3.安装成功后,访问http://127.0.0.1:8080


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

2.2.3 配置Apache Tomcat服务器1.打开Tomcat安装目录的Tomcat7.0\conf\web.xml添加如下配置,在Tomcat7.0版本下默认配置是开启readonly的,需要手动配置readonly为false才可以进行漏洞利用


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

2.3 漏洞利用

2.3.1 远程命令执行漏洞利用

1.利用PUT方法上传构造好的shell


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

查看服务器上已经存在test.jsp


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

在构造上传方法时有三种

PUT /test.jsp%20

PUT /test.jsp/

通过构造特殊的后缀来绕过,Tomcat的检测,将jsp的shell上传到服务器中。

2.利用上传的shell来进行命令执行


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

攻击成功。

2.3.2 漏洞主要攻击特征

1.攻击方法 PUT

2.主要攻击方法 .jsp:DATA .jsp%20 .jsp/

3.入侵检测规则编写

3.1 CVE-2017-12615漏洞入侵检测规则

alert tcp any any -> any any (msg:" CVE-2017-12615";flow:to_server,established;content:"UT";nocase;content:".jsp/";nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

alert tcp any any -> any any (msg:"CVE-2017-12615";flow:to_server,established;content:"UT";nocase;content:".jsp:DATA";nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

alert tcp any any -> any any (msg:"CVE-2017-12615";flow:to_server,established;content:"UT";nocase;content:".jsp%20";nocase;reference:cve,2017-12615;sid:2000015;rev:1;)

4. 入侵检测效果验证

4.1 CVE-2017-12615漏洞入侵检测验证

回放包cve-2017-12615.tcap


如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测

关于如何进行Apache Tomcat远程命令执行漏洞利用的入侵检测问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

推荐阅读:
  1. 如何进行Apache Tomcat远程代码执行漏洞CVE-2019-0232复现
  2. 如何进行Apache Struts2 061远程代码执行漏洞复现

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

apache tomcat

上一篇:Microsoft .NET Framework漏洞是怎么样的

下一篇:怎么进行jackson-databind远程代码执行漏洞分析

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》