[CVE] CVE-2017-12617 실습

 

1. 환경구성

취약한 환경을 구성하기 위해 Apache-tomcat 9.0을 올리고, readonly 설정을 false로 바꾼다.

취약한 버전의 톰캣

readonly 설정 변경

 

2. Webshell 업로드

PUT 메소드를 이용해서 jsp 웹쉘을 올린다.

PUT 메소드로 파일 업로드

http 상태코드가 201인 것을 확인한다.

응답코드 확인

 

3. Webshell 접속

업로드한 웹쉘로 접속해 명령어를 실행한다.

명령어 실행 확인