Apache Tomcat样例目录session操纵漏洞


Jun 06 2015

Apache Tomcat样例目录session操纵漏洞

首页 » 渗透测试 » Apache Tomcat样例目录session操纵漏洞   

0x00       背景

前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。

Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets /servlet/SessionExample)允许用户对session进行操纵。因为session是全局通用的,所以用户可以通过操纵 session获取管理员权限。

案例:http://www.wooyun.org/bugs/wooyun-2014-064812

参考:http://www.acunetix.com/vulnerabilities/apache-tomcat-examples-directory-vulnerabilities/

0x01       漏洞分析演示

首先,我们先来看看SessionExample的部分源码

//表单代码

out.println("<P>");

out.print("<form action=\"");

out.print(response.encodeURL("SessionExample"));

out.print("\" ");

out.println("method=POST>");

out.println(rb.getString("sessions.dataname"));

out.println("<input type=text size=20 name=dataname>");

out.println("<br>");

out.println(rb.getString("sessions.datavalue"));

out.println("<input type=text size=20 name=datavalue>");

out.println("<br>");

out.println("<input type=submit>");

out.println("</form>");

//核心代码

HttpSession session = request.getSession(true);

out.println(rb.getString("sessions.id") + " " +
session.getId());

out.println("<br>");

out.println(rb.getString("sessions.created") + " ");

out.println(new Date(session.getCreationTime()) +
"<br>");

out.println(rb.getString("sessions.lastaccessed") + "
");

out.println(new Date(session.getLastAccessedTime()));

String dataName = request.getParameter("dataname");//获取dataname参数的值

String dataValue = request.getParameter("datavalue");//获取datavalue参数的值

if (dataName != null && dataValue != null) {

session.setAttribute(dataName, dataValue);//将dataname和datavalue写入session

}

用 户通过表单提交dataname和datavalue参数,然后通过request.getParameter()函数获取这两个参数的值,再通过 session.setAttribute()函数将dataname和datavalue的值写入session。因为session全局通用的特性, 所以可以通过操纵session参数的值来获取网站管理员权限的目的。

举个例子:

我们先来编写login.jsp,login2.jsp,index.jsp这三个页面,通过这三个页面来模拟一般网站身份验证的过程。

login.jsp

<form
action=login2.jsp method="POST" >

用户名: <input type="text"
name="username"><br>

密码: <input type="text" name="password"
><br>

<input
type="submit" value="登录"><br>

<form>

login2.jsp

<%

if
(request.getParameter("username") != null &&

request.getParameter("password")
!= null) {

String username =
request.getParameter("username"); 

String password =
request.getParameter("password"); 

//验证身份

if (username.equals("admin")
&& password.equals("admin")) {

session.setAttribute("login",
"admin");

response.sendRedirect("index.jsp");

}
else {

response.sendRedirect("login.jsp");

}  

}

%>

index.jsp

<%

if(session.getAttribute("login")
!= null &&

((String)session.getAttribute("login")).equals("admin"))
{

out.println("Login");

} else{

response.sendRedirect("login.jsp");

}

%>

我们直接打开网站后台,即index.jsp

http://127.0.0.1:8080/examples/index.jsp

Apache Tomcat样例目录session操纵漏洞 - 龙与小妞 - 龙与小妞博客

发现被重定向到login.jsp了,而且在不知道密码的前提下,我们是无法登陆进去的。接下将演示如何通过操纵session进入网站后台

打开SessionExample

http://127.0.0.1:8080/examples/servlets/servlet/SessionExample

在Name of Session Attribute: 里输入login

在Value of Session Attribute:里输入admin

Apache Tomcat样例目录session操纵漏洞 - 龙与小妞 - 龙与小妞博客

提交后显示login=admin已经写入session

Apache Tomcat样例目录session操纵漏洞 - 龙与小妞 - 龙与小妞博客

再次打开index.jsp,显示成功登录

Apache Tomcat样例目录session操纵漏洞 - 龙与小妞 - 龙与小妞博客

0x02 修复建议

0x03 题外话

不觉得这个挺适合做后门的吗?

<%setAttribute("request.getParameter("u")", " request.getParameter("a")%>

“u”和”a”的值看后台源码

正文部分到此结束

文章标签: session操纵漏洞

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «PHP常用正则表达式汇总 | pma-basher phpmyadmin crack»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

已有4条评论

sunshine

2015-11-14 14:17 板凳
关键是不知道session吧、、

mOon

2015-11-16 13:22
@sunshine:session可以造的的

ice

2015-06-18 11:26 沙发
这个很鸡肋吧

mOon

2015-06-18 13:18
@ice:是的 我也觉