日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
繞過Apachehttpproxy繼續(xù)DOSTOMCAT/JBOSS

tomcat在外面使用apache的情況,你會發(fā)現(xiàn)使用POC,這里是無效的,關(guān)于這一點,官方如下描述“This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.”他說如果你的tomcat外面還有一層web server做轉(zhuǎn)發(fā),就會減輕這個漏洞帶來的危害。

從長遠的角度講,一個完整的安全方案,應(yīng)該是和現(xiàn)有架構(gòu)本身的特性,是分開的,它并不能因為現(xiàn)有應(yīng)用架構(gòu)攔截了攻擊,于是自己就表示影響不大。如果安全方案總是依靠應(yīng)用現(xiàn)有的特性,那就要承受可能被繞過的隱患,這種隱患,導(dǎo)致我們總有一天,會不得不把補丁老老實實的打上去。如本文就是一個很好的例子。

也許大家看到這個,放心了很多,就沒有修補。

官方這么講,是什么原理呢?我們看下攻擊的POC:

遇到這樣的HTTP頭,apache會因為有”transfer-encoding: buffered”,則自動攔截下來,自己處理掉這個數(shù)據(jù)包,不交給tomcat處理,并直接返回錯誤。這是出于apache自己的原因造成的,但是這不重要。重要的是,這個攔截的機制,能否被繞過。TOMCAT仍然老老實實的在apache后面等候數(shù)據(jù)包,如果能繞過,它就會再次忠實的睡大覺。要繞過apache的“自動攔截”(這個名字好記點),就必須讓apache不認識這個頭。

發(fā)個數(shù)據(jù)包,這是攔截后返回的信息:

Apache返回了500 Internal Server Error,如果去掉那個頭”transfer-encoding: buffered”,返回就200 OK了,但是也就打不死了。

看起來這是個死循環(huán),永遠搞不定,所以tomcat官方也說了能減輕危害。

但是,如果apache和tomcat對某些字符的理解不一致,可能會apache放過某些字符,但是tomcat卻剛巧認識,又如果這個字符剛好能影響到這里,就會bypass這個所謂的“防御架構(gòu)”,所以我們找找看有沒有這樣“猥瑣”的字符存在。

Apache和Tomcat實現(xiàn)原理不一樣(廢,所以,對一些字符可能理解不一致,是正常的。

我們先看看大家對http heads的分段是如何理解的,我查到“CRLF”,從apache源碼中看到,它把crlf定義為“\r\n”,轉(zhuǎn)換為也就是16進制的“0D 0A”,“#define CRLF "\r\n"”,只有這一個對crlf的定義。

這有什么用呢?這其實表示,apache所理解CRLF,就是“\r\n”,它不認識“\n\r”(看仔細點,反過來了)。

悲劇的是,tomcat和JBOSS認識它們,并且很喜歡它們!

Tomcat和jboss對這個東西的定義含義是

“If (xx==’\r’|| xx==’\n’)”

就是說,不但把字符反過來寫它們認識,就算拆成骨頭,TOMCAT和JBOSS也認識。

知道了這個關(guān)鍵點,下面思路就有了。我們把”transfer-encoding: buffered”這個字段,偽裝成其他字段的一部分,讓apache放過去,交給tomcat處理就可以了。

POC:

于是我使用16進制編輯器,UltraEdit打開我復(fù)制出來的數(shù)據(jù)包文件aa.txt

找到 transfer-encoding: buffered

把這一行之前的字符

注意括起來的兩個地方,把它們順序分別顛倒一下,兩個地方的“0D 0A”都改為“0A 0D”。改后如下:

原來包是這樣的:

Connection: keep-alive 這是字段1

transfer-encoding: buffered 這是字段2

Content-Length: 145 這是字段3

三個字段其實屬于同一個字符串,他們的間隔本來是“\r\n”,我們改為“\n\r”。一旦這個包發(fā)給apache后,apache認為只有一個字段”Connection”過來了,接著就把這個字段原封不動的交給tomcat。

可憐的tomcat看到這個包,卻認為它是三個字段,解開了這個炸藥包,所以,砰。。。掛了

現(xiàn)在把我改后的文件,使用nc提交上去:

當有信息返回時,再看看tomcat的控制臺,已經(jīng)一大堆異常了,測試apache后面的JBOSS也是一樣,統(tǒng)統(tǒng)掛掉。

所以,遇到這樣的漏洞,能對服務(wù)器造成極大危害,而我們的架構(gòu)又剛好符合官方描述的“安全狀態(tài)”時,可以放緩處理,但是不能不處理。很多官方最喜歡做的,就是完全站在開發(fā)產(chǎn)品的角度,不懂安全的含義,就直接針對POC,出一套解決方案。無數(shù)的事實證明,這樣的方案,是最容易被繞過的。

apache的http proxy后面的tomcat和JBOSS,需要及時修補,大家就不要存在僥幸心理了。


新聞名稱:繞過Apachehttpproxy繼續(xù)DOSTOMCAT/JBOSS
網(wǎng)站鏈接:http://m.5511xx.com/article/djihioh.html