准备

下载存在漏洞版本tomcat，这里下的是8.0.45

https://archive.apache.org/dist/tomcat/tomcat-8/v8.0.45/

可执行文件和源码都需要下载

用idea打开源码文件，然后将java目录设置为源码目录

配置一下jdk

转成maven项目

添加一些依赖

    <dependencies>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.easymock</groupId>
            <artifactId>easymock</artifactId>
            <version>3.4</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/ant/ant -->
        <dependency>
            <groupId>ant</groupId>
            <artifactId>ant</artifactId>
            <version>1.6.5</version>
        </dependency>
        <dependency>
            <groupId>wsdl4j</groupId>
            <artifactId>wsdl4j</artifactId>
            <version>1.6.2</version>
        </dependency>
        <dependency>
            <groupId>javax.xml</groupId>
            <artifactId>jaxrpc</artifactId>
            <version>1.1</version>
        </dependency>
        <dependency>
            <groupId>org.eclipse.jdt.core.compiler</groupId>
            <artifactId>ecj</artifactId>
            <version>4.5.1</version>
        </dependency>
    </dependencies>

配置调试环境：

指定主类

给jvm添加个参数：

-Dcatalina.home="C:\Users\yokan\Desktop\code\java\apache-tomcat-8.0.45"

现在就配置好所有环境了，运行一下看看：

复现

poc

PUT /1.jsp/ HTTP/1.1
Host: 192.167.30.37:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: JSESSIONID=DE7C57127EF339EAF83C0EBCF3C45A54
Connection: close

<%out.print("TEST");%>

要触发漏洞，需要修改一下配置：

在web.xml下增加

然后就可以利用成功了

调试

Tomcat 在处理请求时有两个默认的 Servlet，一个是 DefaultServelt，另一个是 JspServlet。两个 Servlet 被配置在 Tomcat 的 web.xml 中。JspServlet 只处理后缀为.jsp 和.jspx 的请求。其他请求都由 DefaultServlet 进行处理。从这一点可以理解为何 PUT 请求时 URI 为“/1.jsp/”而不直接使用“/1.jsp”， 因为直接 PUT 请求“/1.jsp”会由 JspServlet 进行处理，而不是由 DefaultServlet 处理， 所以无法触发漏洞。

DefaultServlet程序针对每一种http请求方式都有对应的方法，漏洞复现中使用的payload中请求头为put方式，因此会被DefaultServlet程序的doPut方法拦截到，因此doPut方法是我们分析的入口。

搜索DefaultServlet：

然后找到它的doPut方法

然后下一个断点

然后重放一下请求包：

doPut方法中首先会判断readOnly，如果readOnly值为true会发送SC_FORBIDDEN错误并直接返回（SC_FORBIDDEN定义在HttpServletResponse接口中，表示403错误代码）。只有当readOnly值为false才会继续往下执行，那么readOnly值是从哪来的？其实readOnly的值就是从web.xml文件中读取的

在下面位置打个断点

步入该方法

继续步入main.write方法

进入到file方法

这里可以看到在new File这里把/3.jsp/的后面的斜杠给去掉了

单步执行到Files.copy方法

这里可以看下dest.toPath的执行结果：

然后步入，继续运行到newOutputStream方法，

继续步入

可以看到这这里完成了文件的创建，但是内容还是为空

通过copy方法，写入了内容

总结：

tomcat任意文件写入漏洞通过一些错误配置，然后再构造特定的uri请求来绕过JspServlet，利用DefaultServlet程序的漏洞上传文件