|
0x00 背景
前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。
Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对session进行操纵。因为session是全局通用的,所以用户可以通过操纵session获取管理员权限。
案例:http://www.wooyun.org/bugs/wooyun-2014-064812
参考:http://www.acunetix.com/vulnerabilities/apache-tomcat-examples-directory-vulnerabilities/
0x01 漏洞分析演示
首先,我们先来看看SessionExample的部分源码
//表单代码
out.println("");
out.print("");
out.println(rb.getString("sessions.dataname"));
out.println("");
out.println("");
out.println(rb.getString("sessions.datavalue"));
out.println("");
out.println("");
out.println("");
out.println("");
//核心代码
HttpSession session = request.getSession(true);
out.println(rb.getString("sessions.id") + " " +session.getId());
out.println("");
out.println(rb.getString("sessions.created") + " ");
out.println(new Date(session.getCreationTime()) +"");
out.println(rb.getString("sessions.lastaccessed") + "");
out.println(new Date(session.getLastAccessedTime()));
String dataName = request.getParameter("dataname");//获取dataname参数的值
String dataValue = request.getParameter("datavalue");//获取datavalue参数的值
if (dataName != null && dataValue != null) {
session.setAttribute(dataName, dataValue);//将dataname和datavalue写入session
}
用户通过表单提交dataname和datavalue参数,然后通过request.getParameter()函数获取这两个参数的值,再通过session.setAttribute()函数将dataname和datavalue的值写入session。因为session全局通用的特性,所以可以通过操纵session参数的值来获取网站管理员权限的目的。
举个例子:
我们先来编写login.jsp,login2.jsp,index.jsp这三个页面,通过这三个页面来模拟一般网站身份验证的过程。
login.jsp
用户名:
密码:
login2.jsp
index.jsp
我们直接打开网站后台,即index.jsp
http://127.0.0.1:8080/examples/index.jsp
发现被重定向到login.jsp了,而且在不知道密码的前提下,我们是无法登陆进去的。接下将演示如何通过操纵session进入网站后台
打开SessionExample
http://127.0.0.1:8080/examples/servlets/servlet/SessionExample
在Name of Session Attribute: 里输入login
在Value of Session Attribute:里输入admin
提交后显示login=admin已经写入session
再次打开index.jsp,显示成功登录
0x02 修复建议
删
0x03 题外话
不觉得这个挺适合做后门的吗?
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2018-11-22 11:37:56
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡