在外面使用的情况,你会发现使用,这里是无效的,关于这一点,官方如下描述“This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.”他说如果你的tomcat外面还有一层web server做转发,就会减轻这个漏洞带来的危害。
从长远的角度讲,一个完整的安全方案,应该是和现有架构本身的特性,是分开的,它并不能因为现有应用架构拦截了攻击,于是自己就表示影响不大。如果安全方案总是依靠应用现有的特性,那就要承受可能被绕过的隐患,这种隐患,导致我们总有一天,会不得不把补丁老老实实的打上去。如本文就是一个很好的例子。
也许大家看到这个,放心了很多,就没有修补。
官方这么讲,是什么原理呢?我们看下攻击的POC:
遇到这样的HTTP头,apache会因为有”transfer-encoding: buffered”,则自动拦截下来,自己处理掉这个数据包,不交给tomcat处理,并直接返回错误。这是出于apache自己的原因造成的,但是这不重要。重要的是,这个拦截的机制,能否被绕过。TOMCAT仍然老老实实的在apache后面等候数据包,如果能绕过,它就会再次忠实的睡大觉。要绕过apache的“自动拦截”(这个名字好记点),就必须让apache不认识这个头。
发个数据包,这是拦截后返回的信息:
Apache返回了500 Internal Server Error,如果去掉那个头”transfer-encoding: buffered”,返回就200 OK了,但是也就打不死了。
看起来这是个死循环,永远搞不定,所以tomcat官方也说了能减轻危害。
但是,如果apache和tomcat对某些字符的理解不一致,可能会apache放过某些字符,但是tomcat却刚巧认识,又如果这个字符刚好能影响到这里,就会bypass这个所谓的“防御架构”,所以我们找找看有没有这样“猥琐”的字符存在。
Apache和Tomcat实现原理不一样(废,所以,对一些字符可能理解不一致,是正常的。
我们先看看大家对http heads的分段是如何理解的,我查到“CRLF”,从apache源码中看到,它把crlf定义为“\r\n”,转换为也就是16进制的“0D 0A”,“#define CRLF “\r\n””,只有这一个对crlf的定义。
这有什么用呢?这其实表示,apache所理解CRLF,就是“\r\n”,它不认识“\n\r”(看仔细点,反过来了)。
悲剧的是,tomcat和JBOSS认识它们,并且很喜欢它们!
Tomcat和jboss对这个东西的定义含义是
“If (xx==’\r’|| xx==’\n’)”
就是说,不但把字符反过来写它们认识,就算拆成骨头,TOMCAT和JBOSS也认识。
知道了这个关键点,下面思路就有了。我们把”transfer-encoding: buffered”这个字段,伪装成其他字段的一部分,让apache放过去,交给tomcat处理就可以了。
于是我使用16进制编辑器,UltraEdit打开我复制出来的数据包文件aa.txt
找到 transfer-encoding: buffered
把这一行之前的字符
注意括起来的两个地方,把它们顺序分别颠倒一下,两个地方的“0D 0A”都改为“0A 0D”。改后如下:
原来包是这样的:
Connection: keep-alive 这是字段1
transfer-encoding: buffered 这是字段2
Content-Length: 145 这是字段3
三个字段其实属于同一个字符串,他们的间隔本来是“\r\n”,我们改为“\n\r”。一旦这个包发给apache后,apache认为只有一个字段”Connection”过来了,接着就把这个字段原封不动的交给tomcat。
可怜的tomcat看到这个包,却认为它是三个字段,解开了这个炸药包,所以,砰。。。挂了
现在把我改后的文件,使用nc提交上去:
当有信息返回时,再看看tomcat的控制台,已经一大堆异常了,测试apache后面的JBOSS也是一样,统统挂掉。
所以,遇到这样的漏洞,能对 服务器 造成极大危害,而我们的架构又刚好符合官方描述的“安全状态”时,可以放缓处理,但是不能不处理。很多官方最喜欢做的,就是完全站在开发产品的角度,不懂安全的含义,就直接针对POC,出一套解决方案。无数的事实证明,这样的方案,是最容易被绕过的。
apache的http proxy后面的tomcat和JBOSS,需要及时修补,大家就不要存在侥幸心理了。
【编辑推荐】
如何在vista下安装Apache?
请仔细阅读。
1、VISTA下安装APACHE2 的方法:首先要用管理员的身份启动CMD提示窗口。
我的是(更换自己的目录即可)C:\>msiexec /i 然后和以前的一样。
附上命令MSIEXEC的详细用法:Windows (R) Installer. V 4.00.6000.0 msiexec /Option
(OS )Only one USAge of each socket address (protocol/network address/port)is normally permitted. : make_sock: could not bind to address 0.0.0.0:80no listening sockets available, shutting downUnable to open logsNote the errors or messages above, and press the key to exit. 26…
[Tue Aug 31 18:21:23 2004] [error] (OS 2)The system cannot find the file specified. : No installed service named “Apache2″ the errors or messages above, and press the key to exit. 25…
netstat -an | more 查看了一下,第一条就是80端口被监听了。
netstat -ab | more
活动连接 协议 本地地址外部地址状态 TCP 0.0.0.0:80woshiduide2:0LISTENING[]
原来是SKYPE占用我的80端口。
打开SKYPE的参数设置:工具-选项-高级-连接-去掉将80与443端口作为连接的备用端口。
重新启动SKYPE。
再次启动APACHE。一切正常。java.lang.NullPointerException错误
是一个比较常见的运行时异常,空指针,就是它所指向的对象是不存在的,于是调用这个不存在的对象的方法时,就出现这个异常 比较好的编程习惯,在不确定对象是否是空时,调用之前先与空(null)比较,不为null时再做调用。 具体分析,是在query里面的问题,可能是connection为空,看一下出错的地方,把用到的对象都 ()出来,哪个是null一目了然。 好运
validateJarFile(D:\apache-tomcat-6.0.18\webapps\websys\WEB-INF\lib\servlet-api.jar) - jar not loaded
蛋定点、看起脑壳痛。
发表评论