绕过Apachehttpproxy继续DOSTOMCAT/JBOSS

tomcat在外面使用apache的情况，你会发现使用POC，这里是无效的，关于这一点，官方如下描述“This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.”他说如果你的tomcat外面还有一层web server做转发，就会减轻这个漏洞带来的危害。

从长远的角度讲，一个完整的安全方案，应该是和现有架构本身的特性，是分开的，它并不能因为现有应用架构拦截了攻击，于是自己就表示影响不大。如果安全方案总是依靠应用现有的特性，那就要承受可能被绕过的隐患，这种隐患，导致我们总有一天，会不得不把补丁老老实实的打上去。如本文就是一个很好的例子。

也许大家看到这个，放心了很多，就没有修补。

官方这么讲，是什么原理呢？我们看下攻击的POC：

遇到这样的HTTP头，apache会因为有”transfer-encoding: buffered”，则自动拦截下来，自己处理掉这个数据包，不交给tomcat处理，并直接返回错误。这是出于apache自己的原因造成的，但是这不重要。重要的是，这个拦截的机制，能否被绕过。TOMCAT仍然老老实实的在apache后面等候数据包，如果能绕过，它就会再次忠实的睡大觉。要绕过apache的“自动拦截”(这个名字好记点)，就必须让apache不认识这个头。

发个数据包，这是拦截后返回的信息：

Apache返回了500 Internal Server Error，如果去掉那个头”transfer-encoding: buffered”，返回就200 OK了，但是也就打不死了。

看起来这是个死循环，永远搞不定，所以tomcat官方也说了能减轻危害。

但是，如果apache和tomcat对某些字符的理解不一致，可能会apache放过某些字符，但是tomcat却刚巧认识，又如果这个字符刚好能影响到这里，就会bypass这个所谓的“防御架构”，所以我们找找看有没有这样“猥琐”的字符存在。

Apache和Tomcat实现原理不一样(废，所以，对一些字符可能理解不一致，是正常的。

我们先看看大家对http heads的分段是如何理解的，我查到“CRLF”，从apache源码中看到，它把crlf定义为“\r\n”，转换为也就是16进制的“0D 0A”，“#define CRLF "\r\n"”，只有这一个对crlf的定义。

这有什么用呢？这其实表示，apache所理解CRLF，就是“\r\n”，它不认识“\n\r”(看仔细点，反过来了)。

悲剧的是，tomcat和JBOSS认识它们，并且很喜欢它们!

Tomcat和jboss对这个东西的定义含义是

“If (xx==’\r’|| xx==’\n’)”

就是说，不但把字符反过来写它们认识，就算拆成骨头，TOMCAT和JBOSS也认识。

知道了这个关键点，下面思路就有了。我们把”transfer-encoding: buffered”这个字段，伪装成其他字段的一部分，让apache放过去，交给tomcat处理就可以了。

POC：

于是我使用16进制编辑器，UltraEdit打开我复制出来的数据包文件aa.txt

找到 transfer-encoding: buffered

把这一行之前的字符

注意括起来的两个地方，把它们顺序分别颠倒一下，两个地方的“0D 0A”都改为“0A 0D”。改后如下：

原来包是这样的：

Connection: keep-alive 这是字段1

transfer-encoding: buffered 这是字段2

Content-Length: 145 这是字段3

三个字段其实属于同一个字符串，他们的间隔本来是“\r\n”，我们改为“\n\r”。一旦这个包发给apache后，apache认为只有一个字段”Connection”过来了，接着就把这个字段原封不动的交给tomcat。

可怜的tomcat看到这个包，却认为它是三个字段，解开了这个炸药包，所以，砰。。。挂了

现在把我改后的文件，使用nc提交上去：

当有信息返回时，再看看tomcat的控制台，已经一大堆异常了，测试apache后面的JBOSS也是一样，统统挂掉。

所以，遇到这样的漏洞，能对服务器造成极大危害，而我们的架构又刚好符合官方描述的“安全状态”时，可以放缓处理，但是不能不处理。很多官方最喜欢做的，就是完全站在开发产品的角度，不懂安全的含义，就直接针对POC，出一套解决方案。无数的事实证明，这样的方案，是最容易被绕过的。

apache的http proxy后面的tomcat和JBOSS，需要及时修补，大家就不要存在侥幸心理了。

网站名称：绕过Apachehttpproxy继续DOSTOMCAT/JBOSS
URL分享：http://www.shufengxianlan.com/qtweb/news46/370396.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联