【发布时间】:2017-10-27 07:31:52
【问题描述】:
我有一个在 Windows 上运行的 tomcat 6.x、7.x 和 8.x 以及 Jboss 7.2.x AS 服务器。我在 webapps 目录下创建了一个 Web 应用程序。我修改了 $TOMCAT_HOME/conf/web.xml 并将 readonly 参数设置为 false(默认情况下为 true)。然后,我运行了利用 https://www.exploit-db.com/exploits/42966/ ——这是一个尝试使用 HTTP PUT 上传有效负载的 python 脚本。
我运行了以下命令行:
python 42966.py -u http://localhost:9292/ExploitTest
我得到了一个
1) 来自 tomcat 8.0.x 的 Http 404 状态(找不到资源),
2) 来自 tomcat 6.x 和
的 Http 400 状态(错误请求)
3) 来自 tomcat 7.x 的 Http 400 状态。
我原以为运行上述 python 漏洞会在 tomcat 服务器中导致 HTTP 201(新创建的资源)。漏洞利用有什么问题?或者我没有为这个漏洞正确设置tomcat?是否有基于 curl 或 java 或任何其他有效利用此漏洞的漏洞,我可以使用它来验证我的服务器是否确实存在漏洞?
【问题讨论】: