從長遠(yuǎn)的角度講，一個完整的安全方案，應(yīng)該是和現(xiàn)有架構(gòu)本身的特性，是分開的，它并不能因?yàn)楝F(xiàn)有應(yīng)用架構(gòu)攔截了攻擊，于是自己就表示影響不大。如果安全方案總是依靠應(yīng)用現(xiàn)有的特性，那就要承受可能被繞過的隱患，這種隱患，導(dǎo)致我們總有一天，會不得不把補(bǔ)丁老老實(shí)實(shí)的打上去。如本文就是一個很好的例子。

筆者根據(jù)TOMCAT的補(bǔ)丁，分析出了攻擊未修補(bǔ)版本的POC，相信不少人體驗(yàn)了一把。然而在實(shí)際使用中，只有小公司喜歡把tomcat放在最外面。大企業(yè)都喜歡在tomcat外面使用apache等web server轉(zhuǎn)發(fā)，以便獲得更好的響應(yīng)速度，或者為了分離靜態(tài)文件，減輕服務(wù)器壓力。

對于這樣的情況，你會發(fā)現(xiàn)使用筆者給的POC，這里是無效的，關(guān)于這一點(diǎn)，官方如下描述“This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.”他說如果你的tomcat外面還有一層web server做轉(zhuǎn)發(fā)，就會減輕這個漏洞帶來的危害。

也許大家看到這個，放心了很多，就沒有修補(bǔ)。

官方這么講，是什么原理呢？我們看下攻擊的POC：

遇到這樣的HTTP頭，apache會因?yàn)橛小眛ransfer-encoding: buffered”，則自動攔截下來，自己處理掉這個數(shù)據(jù)包，不交給tomcat處理，并直接返回錯誤。這是出于apache自己的原因造成的，但是這不重要。重要的是，這個攔截的機(jī)制，能否被繞過。TOMCAT仍然老老實(shí)實(shí)的在apache后面等候數(shù)據(jù)包，如果能繞過，它就會再次忠實(shí)的睡大覺。要繞過apache的“自動攔截”(這個名字好記點(diǎn))，就必須讓apache不認(rèn)識這個頭。

發(fā)個數(shù)據(jù)包，這是攔截后返回的信息：

Apache返回了500 Internal Server Error，如果去掉那個頭”transfer-encoding: buffered”，返回就200 OK了，但是也就打不死了。

看起來這是個死循環(huán)，永遠(yuǎn)搞不定，所以tomcat官方也說了能減輕危害。

但是，如果apache和tomcat對某些字符的理解不一致，可能會apache放過某些字符，但是tomcat卻剛巧認(rèn)識，又如果這個字符剛好能影響到這里，就會bypass這個所謂的“防御架構(gòu)”，所以我們找找看有沒有這樣“猥瑣”的字符存在。

Apache和Tomcat實(shí)現(xiàn)原理不一樣(廢話)，所以，對一些字符可能理解不一致，是正常的。

我們先看看大家對http heads的分段是如何理解的，我查到“CRLF”，從apache源碼中看到，它把crlf定義為“\r\n”，轉(zhuǎn)換為也就是16進(jìn)制的“0D 0A”(為什么提16進(jìn)制等下講)，這個供參考：https://svn.apache.org/repos/asf/httpd/flood/trunk/flood_test.c

其實(shí)我不熟悉C，也不知道這段主要是做什么的，但是看到它的確定義了

“#define CRLF "\r\n"”，只有這一個對crlf的定義。

這有什么用呢？這其實(shí)表示，apache所理解CRLF，就是“\r\n”，它不認(rèn)識“\n\r”(看仔細(xì)點(diǎn)，反過來了)。

悲劇的是，tomcat和JBOSS認(rèn)識它們，并且很喜歡它們!

Tomcat和jboss對這個東西的定義含義是

“If (xx==’\r’|| xx==’\n’)”

就是說，不但把字符反過來寫它們認(rèn)識，就算拆成骨頭，TOMCAT和JBOSS也認(rèn)識。

知道了這個關(guān)鍵點(diǎn)，下面思路就有了。我們把”transfer-encoding: buffered”這個字段，偽裝成其他字段的一部分，讓apache放過去，交給tomcat處理就可以了。

POC：

于是我使用16進(jìn)制編輯器，UltraEdit打開我復(fù)制出來的數(shù)據(jù)包文件aa.txt

找到

transfer-encoding: buffered

把這一行之前的字符

注意括起來的兩個地方，把它們順序分別顛倒一下，兩個地方的“0D 0A”都改為“0A 0D”。改后如下：

原來包是這樣的：

三個字段其實(shí)屬于同一個字符串，他們的間隔本來是“\r\n”，我們改為“\n\r”。一旦這個包發(fā)給apache后，apache認(rèn)為只有一個字段”Connection”過來了，接著就把這個字段原封不動的交給tomcat。#p#

可憐的tomcat看到這個包，卻認(rèn)為它是三個字段，解開了這個炸藥包，所以，砰。。。掛了

現(xiàn)在把我改后的文件，使用nc提交上去：

分享到微信

微信掃碼分享

分享到微博

相關(guān)推薦

繞過Apache httpproxy 繼續(xù)DOS TOMCAT/JBOSS

本文通過案例講述介紹了如何繞過繞過Apachehttpproxy繼續(xù)DOSTOMCATJBOSS的過程，在實(shí)際使用中，只有小公司喜歡把tomcat放在最外面。大企業(yè)都喜歡在tomcat外面使用apache等webserver轉(zhuǎn)發(fā)，以便獲得更好的響應(yīng)速度，或者為了分離靜態(tài)文件，減輕服務(wù)器壓力。

2011-03-15 08:54:43

四兩撥千斤 Apache HTTP DoS工具解析

國外安全人員昨天發(fā)布了一個很有意思的HTTPDos攻擊工具。這個工具能夠通過耗盡服務(wù)器的可用連接，對Apache（以及其它一些服務(wù)器，見下文）進(jìn)行拒絕服務(wù)攻擊(DenialofServiceattack)。

2009-06-26 10:07:16

http協(xié)議與http代理

TCPIP是用于計(jì)算機(jī)通信的一個協(xié)議族。TCPIP協(xié)議族包括諸如Internet協(xié)議、地址解析協(xié)議、互聯(lián)網(wǎng)控制信息協(xié)議、用戶數(shù)據(jù)報協(xié)議、傳輸控制協(xié)議、路由信息協(xié)議、Telnet、簡單郵件傳輸協(xié)議、域名系統(tǒng)等協(xié)議。

2014-10-22 09:36:41

TCPIP

Apache Tomcat 7.0.12 發(fā)布

ApacheTomcat7.0.12發(fā)布了，該版本在7.0.11的基礎(chǔ)上修復(fù)了一些bug.

2011-04-07 09:06:31

Tomcat

Apache Tomcat Connectors 1.2.36 發(fā)布

ApacheTomcat項(xiàng)目組今天發(fā)布了1.2.36版本,該版本修復(fù)了1.2.35的一些小bug.詳細(xì)內(nèi)容請進(jìn)官網(wǎng)。

2012-05-18 15:52:49

JavaApacheTomcat

Apache與Tomcat集群配置

本文Apache+Tomcat集群配置基于最新的Apache和Tomcat，同時也推薦了大量相關(guān)的文章，詳細(xì)請看內(nèi)容

2012-05-30 10:09:57

ApacheTomcat

apache/apache tomcat目錄遍歷漏洞的防范

如果apacheapachetomcat配置文件沒有處理好，會給站點(diǎn)帶來相當(dāng)大的隱患，目錄遍歷漏洞，會將站點(diǎn)的所有目錄暴露在訪問者眼前，有經(jīng)驗(yàn)的開發(fā)者或hacker們可以從這些目錄得知當(dāng)前站點(diǎn)的信息，如開發(fā)語言、服務(wù)器系統(tǒng)、站點(diǎn)結(jié)構(gòu)，甚至一些敏感的信息。

2013-04-26 10:59:54

目錄遍歷漏洞

HTTP代理與SPDY協(xié)議

HTTP代理是最經(jīng)典最常見的代理協(xié)議。其用途非常廣泛，普遍見于公司內(nèi)網(wǎng)環(huán)境，一般員工都需要給瀏覽器配置一個HTTP代理才能訪問互聯(lián)網(wǎng)。起初，HTTP代理也用來翻越“功夫網(wǎng)”，但是因?yàn)椤肮Ψ蚓W(wǎng)”不斷發(fā)展，普通的HTTP代理早已無效了。

2013-07-09 14:36:24

Go語言如何實(shí)現(xiàn)HTTP代理和反向代理

在反向代理中，代理服務(wù)器要轉(zhuǎn)發(fā)的服務(wù)器地址都是事先知道的（包括靜態(tài)配置和動態(tài)配置）。比如使用nginx來配置負(fù)載均衡。

2024-04-26 09:04:13

通過JMX訪問破壞Apache Tomcat

本文主要關(guān)注Tomcat服務(wù)器的一些配置問題，可以將Java管理擴(kuò)展(JMX)服務(wù)暴露到外部網(wǎng)絡(luò)中，來用于遠(yuǎn)程監(jiān)視和管理的目的。

2017-02-12 22:29:59

Apache Tomcat 6.0.35 發(fā)布 附下載

ApacheTomcat6.0.35主要是安全方面的補(bǔ)丁和一些bug修復(fù)，建議所有Tomcat6的用戶都應(yīng)該升級到該版本。

2011-12-07 10:34:29

JavaTomcat

Apache+Tomcat集群配置詳解

本篇文章就Apache和Tomcat集群配置做出了詳細(xì)解釋，并給出代碼方便理解。

2011-02-25 11:16:38

ApacheTomcat

HTTP 代理原理及實(shí)現(xiàn)（一）

Web代理是一種存在于網(wǎng)絡(luò)中間的實(shí)體，提供各式各樣的功能?，F(xiàn)代網(wǎng)絡(luò)系統(tǒng)中，Web代理無處不在。我之前有關(guān)HTTP的博文中，多次提到了代理對HTTP請求及響應(yīng)的影響。今天這篇文章，我打算談?wù)凥TTP代理本身的一些原理，以及如何用Node.js快速實(shí)現(xiàn)代理。

2015-12-02 14:10:56

HTTP網(wǎng)絡(luò)協(xié)議代理原理

HTTP 代理原理及實(shí)現(xiàn)（二）

在上篇《HTTP代理原理及實(shí)現(xiàn)(一)》里，我介紹了HTTP代理的兩種形式，并用Node.js實(shí)現(xiàn)了一個可用的普通隧道代理。普通代理可以用來承載HTTP流量;隧道代理可以用來承載任何TCP流量，包括HTTP和HTTPS。今天這篇文章介紹剩余部分：如何將瀏覽器與代理之間的流量傳輸升級為HTTPS。

2015-12-02 15:29:32

HTTP網(wǎng)絡(luò)協(xié)議代理原理

借助HTTP通過SSH繞過Linux防火墻

需要遠(yuǎn)程工作的看一下。使用這個有用的開源解決方案，從任何地方快速地連接和訪問你的所有設(shè)備。

2020-08-11 08:25:21

HTTPSSHLinux防火墻

Apache Tomcat 8.0 到來，支持JavaEE 7

ApacheTomcat團(tuán)隊(duì)今天發(fā)布了Tomcat8.0.0RC1版本。

2013-08-08 10:09:22

ApacheTomcatJavaEE 7

Apache Tomcat 8 中的 NIO 2

ApacheTomcat8有一個新的基于NIO2的連接器正接近正常的使用狀態(tài)，而現(xiàn)在被標(biāo)記成測試版。NIO2不僅向Servlet3。1的異步IO看齊，它還不止這一個好處。

2014-04-18 09:55:49

Tomcat 8NIO 2

Apache HTTPServer與Tomcat/JBoss的配置

本文介紹ApacheHTTPServer與TomcatJBoss的配置。通過Apache的配置以及TomcatJBoss的配置，可以達(dá)成整合與請求分發(fā)的功能。

2009-07-06 17:49:02

Apache的配置JBoss的配置

Apache服務(wù)器漏洞引發(fā)小流量DoS攻擊

安全專家羅伯特·漢森(RobertHansen)近日表示，Apache和其它Web服務(wù)器存在一個重大安全漏洞，可被黑客利用發(fā)起一種新拒絕服務(wù)(DoS)攻擊。

2009-08-05 22:19:15

微博

QQ

微信

復(fù)制鏈接

微信掃碼分享

51CTO技術(shù)棧公眾號

51CTO技術(shù)棧公眾號