?

Jun 06 2015

Apache Tomcat樣例目錄session操縱漏洞

首頁 » 滲透測試 » Apache Tomcat樣例目錄session操縱漏洞   

0x00       背景

前段時間掃到的漏洞,研究了下,感覺挺有意思的,發出來和大家分享下,有啥不對的地方還請各位拍磚指正。

Apache Tomcat默認安裝包含”/examples”目錄,里面存著眾多的樣例,其中session樣例(/examples/servlets /servlet/SessionExample)允許用戶對session進行操縱。因為session是全局通用的,所以用戶可以通過操縱 session獲取管理員權限。

案例:http://www.wooyun.org/bugs/wooyun-2014-064812

參考:http://www.acunetix.com/vulnerabilities/apache-tomcat-examples-directory-vulnerabilities/

0x01       漏洞分析演示

首先,我們先來看看SessionExample的部分源碼

//表單代碼

out.println("<P>");

out.print("<form action=\"");

out.print(response.encodeURL("SessionExample"));

out.print("\" ");

out.println("method=POST>");

out.println(rb.getString("sessions.dataname"));

out.println("<input type=text size=20 name=dataname>");

out.println("<br>");

out.println(rb.getString("sessions.datavalue"));

out.println("<input type=text size=20 name=datavalue>");

out.println("<br>");

out.println("<input type=submit>");

out.println("</form>");

//核心代碼

HttpSession session = request.getSession(true);

out.println(rb.getString("sessions.id") + " " +
session.getId());

out.println("<br>");

out.println(rb.getString("sessions.created") + " ");

out.println(new Date(session.getCreationTime()) +
"<br>");

out.println(rb.getString("sessions.lastaccessed") + "
");

out.println(new Date(session.getLastAccessedTime()));

String dataName = request.getParameter("dataname");//獲取dataname參數的值

String dataValue = request.getParameter("datavalue");//獲取datavalue參數的值

if (dataName != null && dataValue != null) {

session.setAttribute(dataName, dataValue);//將dataname和datavalue寫入session

}

用 戶通過表單提交dataname和datavalue參數,然后通過request.getParameter()函數獲取這兩個參數的值,再通過 session.setAttribute()函數將dataname和datavalue的值寫入session。因為session全局通用的特性, 所以可以通過操縱session參數的值來獲取網站管理員權限的目的。

舉個例子:

我們先來編寫login.jsp,login2.jsp,index.jsp這三個頁面,通過這三個頁面來模擬一般網站身份驗證的過程。

login.jsp

<form
action=login2.jsp method="POST" >

用戶名: <input type="text"
name="username"><br>

密碼: <input type="text" name="password"
><br>

<input
type="submit" value="登錄"><br>

<form>

login2.jsp

<%

if
(request.getParameter("username") != null &&

request.getParameter("password")
!= null) {

String username =
request.getParameter("username"); 

String password =
request.getParameter("password"); 

//驗證身份

if (username.equals("admin")
&& password.equals("admin")) {

session.setAttribute("login",
"admin");

response.sendRedirect("index.jsp");

}
else {

response.sendRedirect("login.jsp");

}  

}

%>

index.jsp

<%

if(session.getAttribute("login")
!= null &&

((String)session.getAttribute("login")).equals("admin"))
{

out.println("Login");

} else{

response.sendRedirect("login.jsp");

}

%>

我們直接打開網站后臺,即index.jsp

http://127.0.0.1:8080/examples/index.jsp

Apache Tomcat樣例目錄session操縱漏洞 - 龍與小妞 - 龍與小妞博客

發現被重定向到login.jsp了,而且在不知道密碼的前提下,我們是無法登陸進去的。接下將演示如何通過操縱session進入網站后臺

打開SessionExample

http://127.0.0.1:8080/examples/servlets/servlet/SessionExample

在Name of Session Attribute: 里輸入login

在Value of Session Attribute:里輸入admin

Apache Tomcat樣例目錄session操縱漏洞 - 龍與小妞 - 龍與小妞博客

提交后顯示login=admin已經寫入session

Apache Tomcat樣例目錄session操縱漏洞 - 龍與小妞 - 龍與小妞博客

再次打開index.jsp,顯示成功登錄

Apache Tomcat樣例目錄session操縱漏洞 - 龍與小妞 - 龍與小妞博客

0x02 修復建議

0x03 題外話

不覺得這個挺適合做后門的嗎?

<%setAttribute("request.getParameter("u")", " request.getParameter("a")%>

“u”和”a”的值看后臺源碼

正文部分到此結束

文章標簽: session操縱漏洞

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «PHP常用正則表達式匯總 | pma-basher phpmyadmin crack»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

已有4條評論

sunshine

2015-11-14 14:17 板凳
關鍵是不知道session吧、、

mOon

2015-11-16 13:22
@sunshine:session可以造的的

ice

2015-06-18 11:26 沙發
這個很雞肋吧

mOon

2015-06-18 13:18
@ice:是的 我也覺
?
?
河北11选5开奖