Skip to content

Commit f712b6d

Browse files
author
gsbp
committed
update
1 parent 2533838 commit f712b6d

File tree

13 files changed

+815
-25
lines changed

13 files changed

+815
-25
lines changed

content/post/[Tomcat]CVE-2025-24813复现及原理分析.md

Lines changed: 1 addition & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -1,7 +1,7 @@
11
+++
22
date = '2025-03-12T18:00:00+08:00'
33
draft = false
4-
title = [Tomcat]CVE-2025-24813复现及原理分析'
4+
title = '[Tomcat]CVE-2025-24813复现及原理分析'
55
author='GSBP'
66
categories=["Java安全","CVE"]
77

public/categories/cve/index.html

Lines changed: 1 addition & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -146,7 +146,7 @@ <h2 class="archive-title">Category: CVE</h2>
146146

147147

148148
<article class="archive-item">
149-
<a href="http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0/" class="archive-item-link hover-underline-animation">[Tomcat]CVE-2025-24813复现</a>
149+
<a href="http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0%E5%8F%8A%E5%8E%9F%E7%90%86%E5%88%86%E6%9E%90/" class="archive-item-link hover-underline-animation">[Tomcat]CVE-2025-24813复现及原理分析</a>
150150
<span class="archive-item-date">
151151
March 12, 2025
152152
</span>

public/categories/cve/index.xml

Lines changed: 4 additions & 4 deletions
Original file line numberDiff line numberDiff line change
@@ -9,11 +9,11 @@
99
<lastBuildDate>Wed, 12 Mar 2025 18:00:00 +0800</lastBuildDate>
1010
<atom:link href="http://localhost:1313/categories/cve/index.xml" rel="self" type="application/rss+xml" />
1111
<item>
12-
<title>[Tomcat]CVE-2025-24813复现</title>
13-
<link>http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0/</link>
12+
<title>[Tomcat]CVE-2025-24813复现及原理分析</title>
13+
<link>http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0%E5%8F%8A%E5%8E%9F%E7%90%86%E5%88%86%E6%9E%90/</link>
1414
<pubDate>Wed, 12 Mar 2025 18:00:00 +0800</pubDate>
15-
<guid>http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0/</guid>
16-
<description>&lt;h2 id=&#34;前言&#34;&gt;前言&lt;/h2&gt;&#xA;&lt;p&gt;出了个通告说Tomcat有个新的cve,于是来尝试复现&lt;/p&gt;&#xA;&lt;h2 id=&#34;通报&#34;&gt;通报&lt;/h2&gt;&#xA;&lt;p&gt;关于漏洞的通报细节如下&lt;/p&gt;&#xA;&lt;p&gt;&#xA;&lt;div class=&#34;post-img-view&#34;&gt;&#xA;&lt;a data-fancybox=&#34;gallery&#34; href=&#34;https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250312143659450.png&#34;&gt;&#xA;&lt;img src=&#34;https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250312143659450.png&#34; alt=&#34;image-20250312143659450&#34; /&gt;&#xA;&lt;/a&gt;&#xA;&lt;/div&gt;&#xA;&#xA;&lt;/p&gt;&#xA;&lt;p&gt;一看又是DefaultServlet的put方法上出的洞,这里漏洞利用有两种形式,一个是信息泄漏和篡改,还有一个是反序列化RCE,而且要求的前置项有点多,这里简单列出来&lt;/p&gt;&#xA;&lt;h3 id=&#34;信息泄漏篡改&#34;&gt;信息泄漏/篡改&lt;/h3&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;ReadOnly为false&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;支持partial PUT方法&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;攻击者知道敏感文件的名称&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;安全敏感文件的上传目标 URL 是公开上传目标 URL 的子目录(?这个看不懂,也不知道啥意思)&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h3 id=&#34;反序列化rce&#34;&gt;反序列化RCE&lt;/h3&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;ReadOnly为false&lt;/li&gt;&#xA;&lt;li&gt;支持partial PUT方法&lt;/li&gt;&#xA;&lt;li&gt;服务开启以文件为存储形式的持久化链接,并且采用默认位置&lt;/li&gt;&#xA;&lt;li&gt;有能够引起反序列化漏洞的依赖&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h2 id=&#34;环境搭建&#34;&gt;环境搭建&lt;/h2&gt;&#xA;&lt;p&gt;我参考的这篇文章搭建的环境&lt;/p&gt;&#xA;&lt;p&gt;&lt;a href=&#34;https://juejin.cn/post/7331544684290228250&#34;&gt;https://juejin.cn/post/7331544684290228250&lt;/a&gt;&lt;/p&gt;&#xA;&lt;p&gt;接下来修改readonly&lt;/p&gt;&#xA;&lt;p&gt;&lt;code&gt;tomcat目录/conf/web.xml&lt;/code&gt;&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt; &amp;lt;servlet&amp;gt;&#xD;&#xA; &amp;lt;servlet-name&amp;gt;default&amp;lt;/servlet-name&amp;gt;&#xD;&#xA; &amp;lt;servlet-class&amp;gt;org.apache.catalina.servlets.DefaultServlet&amp;lt;/servlet-class&amp;gt;&#xD;&#xA; &amp;lt;init-param&amp;gt;&#xD;&#xA; &amp;lt;param-name&amp;gt;debug&amp;lt;/param-name&amp;gt;&#xD;&#xA; &amp;lt;param-value&amp;gt;0&amp;lt;/param-value&amp;gt;&#xD;&#xA; &amp;lt;/init-param&amp;gt;&#xD;&#xA; &amp;lt;init-param&amp;gt;&#xD;&#xA; &amp;lt;param-name&amp;gt;listings&amp;lt;/param-name&amp;gt;&#xD;&#xA; &amp;lt;param-value&amp;gt;false&amp;lt;/param-value&amp;gt;&#xD;&#xA; &amp;lt;/init-param&amp;gt;&#xD;&#xA; &amp;lt;init-param&amp;gt;&#xD;&#xA; &amp;lt;param-name&amp;gt;readonly&amp;lt;/param-name&amp;gt;&#xD;&#xA; &amp;lt;param-value&amp;gt;false&amp;lt;/param-value&amp;gt;&#xD;&#xA; &amp;lt;/init-param&amp;gt;&#xD;&#xA; &amp;lt;load-on-startup&amp;gt;1&amp;lt;/load-on-startup&amp;gt;&#xD;&#xA; &amp;lt;/servlet&amp;gt;&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;开启持久化链接文件模式&lt;/p&gt;&#xA;&lt;p&gt;&lt;code&gt;tomcat目录/conf/context.xml&lt;/code&gt;&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;&amp;lt;?xml version=&amp;#34;1.0&amp;#34; encoding=&amp;#34;UTF-8&amp;#34;?&amp;gt;&#xD;&#xA;&amp;lt;!--&#xD;&#xA; Licensed to the Apache Software Foundation (ASF) under one or more&#xD;&#xA; contributor license agreements. See the NOTICE file distributed with&#xD;&#xA; this work for additional information regarding copyright ownership.&#xD;&#xA; The ASF licenses this file to You under the Apache License, Version 2.0&#xD;&#xA; (the &amp;#34;License&amp;#34;); you may not use this file except in compliance with&#xD;&#xA; the License. You may obtain a copy of the License at&#xD;&#xA;&#xD;&#xA; http://www.apache.org/licenses/LICENSE-2.0&#xD;&#xA;&#xD;&#xA; Unless required by applicable law or agreed to in writing, software&#xD;&#xA; distributed under the License is distributed on an &amp;#34;AS IS&amp;#34; BASIS,&#xD;&#xA; WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.&#xD;&#xA; See the License for the specific language governing permissions and&#xD;&#xA; limitations under the License.&#xD;&#xA;--&amp;gt;&#xD;&#xA;&amp;lt;!-- The contents of this file will be loaded for each web application --&amp;gt;&#xD;&#xA;&amp;lt;Context&amp;gt;&#xD;&#xA;&#xD;&#xA; &amp;lt;!-- Default set of monitored resources. If one of these changes, the --&amp;gt;&#xD;&#xA; &amp;lt;!-- web application will be reloaded. --&amp;gt;&#xD;&#xA; &amp;lt;WatchedResource&amp;gt;WEB-INF/web.xml&amp;lt;/WatchedResource&amp;gt;&#xD;&#xA; &amp;lt;WatchedResource&amp;gt;WEB-INF/tomcat-web.xml&amp;lt;/WatchedResource&amp;gt;&#xD;&#xA; &amp;lt;WatchedResource&amp;gt;${catalina.base}/conf/web.xml&amp;lt;/WatchedResource&amp;gt;&#xD;&#xA;&#xD;&#xA; &amp;lt;!-- Uncomment this to disable session persistence across Tomcat restarts --&amp;gt;&#xD;&#xA; &amp;lt;!--&#xD;&#xA; &amp;lt;Manager pathname=&amp;#34;&amp;#34; /&amp;gt;&#xD;&#xA; --&amp;gt;&#xD;&#xA; &amp;lt;Manager className=&amp;#34;org.apache.catalina.session.PersistentManager&amp;#34;&#xD;&#xA; debug=&amp;#34;0&amp;#34;&#xD;&#xA; saveOnRestart=&amp;#34;false&amp;#34;&#xD;&#xA; maxActiveSession=&amp;#34;-1&amp;#34;&#xD;&#xA; minIdleSwap=&amp;#34;-1&amp;#34;&#xD;&#xA; maxIdleSwap=&amp;#34;-1&amp;#34;&#xD;&#xA; maxIdleBackup=&amp;#34;-1&amp;#34;&amp;gt;&#xD;&#xA; &amp;lt;Store className=&amp;#34;org.apache.catalina.session.FileStore&amp;#34; directory=&amp;#34;&amp;#34;/&amp;gt;&#xD;&#xA; &amp;lt;/Manager&amp;gt;&#xD;&#xA;&amp;lt;/Context&amp;gt;&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;往pom.xml下塞入CC依赖&lt;/p&gt;</description>
15+
<guid>http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0%E5%8F%8A%E5%8E%9F%E7%90%86%E5%88%86%E6%9E%90/</guid>
16+
<description>&lt;h2 id=&#34;前言&#34;&gt;前言&lt;/h2&gt;&#xA;&lt;p&gt;出了个通告说Tomcat有个新的cve,于是来尝试复现分析一下&lt;/p&gt;&#xA;&lt;h2 id=&#34;通报&#34;&gt;通报&lt;/h2&gt;&#xA;&lt;p&gt;关于漏洞的通报细节如下&lt;/p&gt;&#xA;&lt;p&gt;&#xA;&lt;div class=&#34;post-img-view&#34;&gt;&#xA;&lt;a data-fancybox=&#34;gallery&#34; href=&#34;https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250312143659450.png&#34;&gt;&#xA;&lt;img src=&#34;https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250312143659450.png&#34; alt=&#34;image-20250312143659450&#34; /&gt;&#xA;&lt;/a&gt;&#xA;&lt;/div&gt;&#xA;&#xA;&lt;/p&gt;&#xA;&lt;p&gt;一看又是DefaultServlet的put方法上出的洞,这里漏洞利用有两种形式,一个是信息泄漏和篡改,还有一个是反序列化RCE,而且要求的前置项有点多,这里简单列出来&lt;/p&gt;&#xA;&lt;h3 id=&#34;信息泄漏篡改&#34;&gt;信息泄漏/篡改&lt;/h3&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;ReadOnly为false&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;支持partial PUT方法&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;攻击者知道敏感文件的名称&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;&#xA;&lt;p&gt;安全敏感文件的上传目标 URL 是公开上传目标 URL 的子目录(?这个看不懂,也不知道啥意思)&lt;/p&gt;&#xA;&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h3 id=&#34;反序列化rce&#34;&gt;反序列化RCE&lt;/h3&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;ReadOnly为false&lt;/li&gt;&#xA;&lt;li&gt;支持partial PUT方法&lt;/li&gt;&#xA;&lt;li&gt;服务开启以文件为存储形式的持久化链接,并且采用默认位置&lt;/li&gt;&#xA;&lt;li&gt;有能够引起反序列化漏洞的依赖&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h2 id=&#34;环境搭建&#34;&gt;环境搭建&lt;/h2&gt;&#xA;&lt;p&gt;我参考的这篇文章搭建的环境&lt;/p&gt;&#xA;&lt;p&gt;&lt;a href=&#34;https://juejin.cn/post/7331544684290228250&#34;&gt;https://juejin.cn/post/7331544684290228250&lt;/a&gt;&lt;/p&gt;&#xA;&lt;p&gt;接下来修改readonly&lt;/p&gt;&#xA;&lt;p&gt;&lt;code&gt;tomcat目录/conf/web.xml&lt;/code&gt;&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt; &amp;lt;servlet&amp;gt;&#xD;&#xA; &amp;lt;servlet-name&amp;gt;default&amp;lt;/servlet-name&amp;gt;&#xD;&#xA; &amp;lt;servlet-class&amp;gt;org.apache.catalina.servlets.DefaultServlet&amp;lt;/servlet-class&amp;gt;&#xD;&#xA; &amp;lt;init-param&amp;gt;&#xD;&#xA; &amp;lt;param-name&amp;gt;debug&amp;lt;/param-name&amp;gt;&#xD;&#xA; &amp;lt;param-value&amp;gt;0&amp;lt;/param-value&amp;gt;&#xD;&#xA; &amp;lt;/init-param&amp;gt;&#xD;&#xA; &amp;lt;init-param&amp;gt;&#xD;&#xA; &amp;lt;param-name&amp;gt;listings&amp;lt;/param-name&amp;gt;&#xD;&#xA; &amp;lt;param-value&amp;gt;false&amp;lt;/param-value&amp;gt;&#xD;&#xA; &amp;lt;/init-param&amp;gt;&#xD;&#xA; &amp;lt;init-param&amp;gt;&#xD;&#xA; &amp;lt;param-name&amp;gt;readonly&amp;lt;/param-name&amp;gt;&#xD;&#xA; &amp;lt;param-value&amp;gt;false&amp;lt;/param-value&amp;gt;&#xD;&#xA; &amp;lt;/init-param&amp;gt;&#xD;&#xA; &amp;lt;load-on-startup&amp;gt;1&amp;lt;/load-on-startup&amp;gt;&#xD;&#xA; &amp;lt;/servlet&amp;gt;&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;开启持久化链接文件模式&lt;/p&gt;&#xA;&lt;p&gt;&lt;code&gt;tomcat目录/conf/context.xml&lt;/code&gt;&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;&amp;lt;?xml version=&amp;#34;1.0&amp;#34; encoding=&amp;#34;UTF-8&amp;#34;?&amp;gt;&#xD;&#xA;&amp;lt;!--&#xD;&#xA; Licensed to the Apache Software Foundation (ASF) under one or more&#xD;&#xA; contributor license agreements. See the NOTICE file distributed with&#xD;&#xA; this work for additional information regarding copyright ownership.&#xD;&#xA; The ASF licenses this file to You under the Apache License, Version 2.0&#xD;&#xA; (the &amp;#34;License&amp;#34;); you may not use this file except in compliance with&#xD;&#xA; the License. You may obtain a copy of the License at&#xD;&#xA;&#xD;&#xA; http://www.apache.org/licenses/LICENSE-2.0&#xD;&#xA;&#xD;&#xA; Unless required by applicable law or agreed to in writing, software&#xD;&#xA; distributed under the License is distributed on an &amp;#34;AS IS&amp;#34; BASIS,&#xD;&#xA; WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.&#xD;&#xA; See the License for the specific language governing permissions and&#xD;&#xA; limitations under the License.&#xD;&#xA;--&amp;gt;&#xD;&#xA;&amp;lt;!-- The contents of this file will be loaded for each web application --&amp;gt;&#xD;&#xA;&amp;lt;Context&amp;gt;&#xD;&#xA;&#xD;&#xA; &amp;lt;!-- Default set of monitored resources. If one of these changes, the --&amp;gt;&#xD;&#xA; &amp;lt;!-- web application will be reloaded. --&amp;gt;&#xD;&#xA; &amp;lt;WatchedResource&amp;gt;WEB-INF/web.xml&amp;lt;/WatchedResource&amp;gt;&#xD;&#xA; &amp;lt;WatchedResource&amp;gt;WEB-INF/tomcat-web.xml&amp;lt;/WatchedResource&amp;gt;&#xD;&#xA; &amp;lt;WatchedResource&amp;gt;${catalina.base}/conf/web.xml&amp;lt;/WatchedResource&amp;gt;&#xD;&#xA;&#xD;&#xA; &amp;lt;!-- Uncomment this to disable session persistence across Tomcat restarts --&amp;gt;&#xD;&#xA; &amp;lt;!--&#xD;&#xA; &amp;lt;Manager pathname=&amp;#34;&amp;#34; /&amp;gt;&#xD;&#xA; --&amp;gt;&#xD;&#xA; &amp;lt;Manager className=&amp;#34;org.apache.catalina.session.PersistentManager&amp;#34;&#xD;&#xA; debug=&amp;#34;0&amp;#34;&#xD;&#xA; saveOnRestart=&amp;#34;false&amp;#34;&#xD;&#xA; maxActiveSession=&amp;#34;-1&amp;#34;&#xD;&#xA; minIdleSwap=&amp;#34;-1&amp;#34;&#xD;&#xA; maxIdleSwap=&amp;#34;-1&amp;#34;&#xD;&#xA; maxIdleBackup=&amp;#34;-1&amp;#34;&amp;gt;&#xD;&#xA; &amp;lt;Store className=&amp;#34;org.apache.catalina.session.FileStore&amp;#34; directory=&amp;#34;&amp;#34;/&amp;gt;&#xD;&#xA; &amp;lt;/Manager&amp;gt;&#xD;&#xA;&amp;lt;/Context&amp;gt;&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;往pom.xml下塞入CC依赖&lt;/p&gt;</description>
1717
</item>
1818
</channel>
1919
</rss>

public/categories/java安全/index.html

Lines changed: 1 addition & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -146,7 +146,7 @@ <h2 class="archive-title">Category: Java安全</h2>
146146

147147

148148
<article class="archive-item">
149-
<a href="http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0/" class="archive-item-link hover-underline-animation">[Tomcat]CVE-2025-24813复现</a>
149+
<a href="http://localhost:1313/post/tomcatcve-2025-24813%E5%A4%8D%E7%8E%B0%E5%8F%8A%E5%8E%9F%E7%90%86%E5%88%86%E6%9E%90/" class="archive-item-link hover-underline-animation">[Tomcat]CVE-2025-24813复现及原理分析</a>
150150
<span class="archive-item-date">
151151
March 12, 2025
152152
</span>

0 commit comments

Comments
 (0)