漏洞概述
漏洞名称:Tomcat 远程代码执行漏洞(HTTP PUT 方法任意文件上传)
CVE 编号:CVE-2017-12615
CVSS 评分:8.1
影响版本:Apache Tomcat 7.0.0 - 7.0.81(含补丁绕过)
修复版本:≥ 7.0.82(官方完全修复)
漏洞类型:远程代码执行(RCE)
根本原因:当 Tomcat 启用 HTTP PUT 方法(readonly=false)时,攻击者可构造特殊后缀文件名绕过安全校验,上传恶意 JSP 文件执行任意代码。
漏洞原理与源码分析
1. 漏洞触发条件
- 配置要求:在
conf/web.xml中显式配置readonly=false(默认无此配置,需手动添加):<init-param> <param-name>readonly</param-name> <param-value>false</param-value> </init-param> - 系统限制:主要影响 Windows 环境(利用文件系统特性),但部分绕过方法(如
evil.jsp/)可影响 Linux。
2. 关键源码定位
(1)请求路由入口:DefaultServlet#doPut
代码路径:org.apache.catalina.servlets.DefaultServlet
@Override
protected void doPut(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
if (readOnly) {// 若 readOnly=true 则拒绝请求
resp.sendError(HttpServletResponse.SC_FORBIDDEN);
return;
}
String path = getRelativePath(req);// 获取请求路径
boolean exists = true;
try {
resources.lookup(path);// 获取资源对象
} catch (NamingException e) {
exists = false;
}
boolean result = true;
File contentFile = null;
Range range = parseContentRange(req, resp);
InputStream resourceInputStream = null;
if (range != null) {
contentFile = executePartialPut(req, range, path);
resourceInputStream = new FileInputStream(contentFile);
} else {
resourceInputStream = req.getInputStream();
}
try {
Resource newResource = new Resource(resourceInputStream);
if (exists) {
resources.rebind(path, newResource);
} else {
resources.bind(path, newResource);// 写入文件(漏洞触发点)
}
} catch(NamingException e) {
result = false;
}
...
@Override
public void bind(Name name, Object obj, Attributes attrs)
throws NamingException {
dirContext.bind(parseName(name), obj, attrs);
cacheUnload(name.toString());
}
漏洞点:readOnly=false 时允许文件上传,但未校验文件后缀合法性。
(2)文件写入逻辑:FileDirContext#rebind
代码路径:org.apache.catalina.fileuploads.FileDirContext
@Override
public void bind(String name, Object obj, Attributes attrs)
throws NamingException {
File file = new File(base, name);
if (file.exists())
throw new NameAlreadyBoundException
(sm.getString("resources.alreadyBound", name));
rebind(name, obj, attrs);
}
public void bind(String name, Object obj) {
File file = new File(base, name); // 关键:构造文件路径
...
// 写入文件内容(无后缀过滤)
try (FileOutputStream fos = new FileOutputStream(file)) {
IOUtils.copy((Resource) obj, fos);
}
...
}
问题:File 类处理路径时触发 系统级文件名规范化,导致绕过:
- Windows 特性:
evil.jsp::$DATA→ 规范化后为evil.jsp - Java 路径处理:
evil.jsp/→ 通过File.normalize()删除末尾/(见java.io.File#normalize)。
(3)安全校验绕过机制
Tomcat 通过 web.xml 路由请求:
<servlet-mapping>
<servlet-name>jsp</servlet-name> <!-- 处理 .jsp 动态请求 -->
<url-pattern>*.jsp</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>default</servlet-name> <!-- 处理静态文件/PUT请求 -->
<url-pattern>/</url-pattern>
</servlet-mapping>
绕过原理:
- 当请求路径为
evil.jsp/时,不匹配*.jsp规则 → 交由DefaultServlet处理。 DefaultServlet处理 PUT 请求写入文件,而规范化后的路径变为evil.jsp→ 最终生成可执行的 JSP 文件。
漏洞复现
1. 攻击流程
2. 三种绕过方法
| 方法 | Payload 示例 | 利用系统特性 |
|---|---|---|
| 空格绕过 | PUT /evil.jsp%20 HTTP/1.1 |
Windows 删除文件名末尾空格 |
| NTFS 数据流 | PUT /evil.jsp::$DATA HTTP/1.1 |
NTFS 文件流特性 |
| 路径规范化 | PUT /evil.jsp/ HTTP/1.1 |
File.normalize() 删除末尾 / |
3. 利用效果
- 使用 Vulhub 环境启动漏洞靶机
docker-compose build
docker-compose up -d
访问 http://target:8080,确认服务正常运行
使用冰蝎点击传输协议生成
webshell
- 上传
webshell
- 冰蝎右键新增
shell,输入上传的url,选择刚才上传的脚本语言以及对应的传输协议,最后保存即可
- 获取到
shell
影响范围与修复方案
1. 受影响版本
| Tomcat 分支 | 受影响版本 | 安全版本 |
|---|---|---|
| 7.0.x | 7.0.0 - 7.0.81 | ≥ 7.0.82 |
2. 官方修复方案
- 补丁提交:修订记录
- 修复逻辑:在
DefaultServlet中强制校验文件后缀:protected boolean isPutAllowed(String path) { if (path.endsWith(".jsp") || path.endsWith(".jspx")) { return false; // 禁止上传 JSP/JSPX 文件 } return true; }
3. 临时缓解措施
- 禁用 PUT 方法:
<!-- conf/web.xml --> <init-param> <param-name>readonly</param-name> <param-value>true</param-value> <!-- 恢复默认值 --> </init-param> - 网络层拦截(Nginx 示例):
location / { if ($request_method ~* "PUT") { return 403; } } - 删除危险配置:检查
conf/web.xml并移除自定义readonly参数。
漏洞启示:
- 默认安全:生产环境应保持
readonly=true(默认配置),避免开启高危功能。 - 纵深防御:结合代码补丁、网络层过滤(WAF)和文件监控(如审计
webapps/*.jsp)。 - 跨平台风险:即使漏洞主要影响 Windows,Linux 系统也可能因路径规范化特性被绕过。
参考链接