码迷,mamicode.com
首页 > 其他好文 > 详细

[Vulfocus解题系列]Tomcat任意写入文件漏洞(CVE-2017-12615)

时间:2021-01-05 11:14:29      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:shell   其他   后缀   mamicode   测试   image   href   解题思路   后缀名   

2021年的第一天,决定水一篇文章。。

题目环境

vulfocus演示环境自行搜索。

解题思路

打开环境,发现是Tomcat 8.5.19。
技术图片

本来想假装不知道是PUT漏洞的,先进行一波漏洞搜索的。算了不啰嗦,直接解题。
技术图片

在上传文件名后缀名的后面加/,即可绕过限制、上传文件。
技术图片

解题过程

根据上述的思路,解题就很简单了:上传一句话Jsp马,然后直接执行命令即可。
技术图片
技术图片

执行命令反弹shell也是可以的:
技术图片

Flag

动态flag。

总结

Tomcat任意写入文件漏洞(CVE-2017-12615)

影响版本:

  • Apache Tomcat 7.0.0 - 7.0.7
  • 本次测试发现,Tomcat 8.5.19也受影响,其他版本未测试。

利用方法:

利用PUT方法,上传Jsp木马。

[Vulfocus解题系列]Tomcat任意写入文件漏洞(CVE-2017-12615)

标签:shell   其他   后缀   mamicode   测试   image   href   解题思路   后缀名   

原文地址:https://www.cnblogs.com/huaflwr/p/14220015.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!