tomcat漏洞学习——CVE-2017-12615 （Tomcat任意写入文件漏洞）

警告请勿使用本文提到的内容违反法律。本文不提供任何担保目录警告一、概述二、影响版本三、漏洞原理四、环境搭建五、 漏洞复现（一）手动验证复现1.首先抓包，验证jsp文件：2.发现404页面，换成txt文件，发现可以的：3.根据源码，只要在jsp小马后面加一个/,就可以上传成功：4.小马利用:​（二）exp验证复现​（三）工具检测一、概述tomcat的配置具有可写权限，因此可以利用put方法上传任意文件。但是tomcat对...