漏洞背景：

9月19日晚，Apache Tomcat官方发布了一条安全公告，该公告指出Windows上的Apache Tomcat如果开启PUT方法(默认关闭)支持则存在远程代码执行漏洞，漏洞编号为CVE-2017-12615。攻击者可以在使用该漏洞上传JSP文件,从而导致远程代码执行。

漏洞来源：http://seclists.org/oss-sec/2016/q4/502

修复建议: 远程代码执行漏洞

漏洞编号: CVE-2017-12615

危害程度：低

利用条件: 1.Window平台 2.手动开启PUT方法(默认关闭)

影响范围：Apache Tomcat 7.0.0 – 7.0.81

修复建议: 关闭PUT方法，默认关闭。

环境搭建：

找到tomcat conf/web.xml文件，添加如下信息，开启PUT方法

漏洞测试：

 姿势一:.

姿势二：NTFS

姿势三：/

 此方法影响Windows/Linux/Unix系统下的Apache Tomcat 7.x、8.x、9.x版本，为0day漏洞，有人已经去提交tomcat官方了。