繞過Apache http代理繼續(xù)DoS tomcat
從長遠的角度講,一個完整的安全方案,應該是和現(xiàn)有架構本身的特性,是分開的,它并不能因為現(xiàn)有應用架構攔截了攻擊,于是自己就表示影響不大。如果安全方案總是依靠應用現(xiàn)有的特性,那就要承受可能被繞過的隱患,這種隱患,導致我們總有一天,會不得不把補丁老老實實的打上去。如本文就是一個很好的例子。
筆者根據(jù)TOMCAT的補丁,分析出了攻擊未修補版本的POC,相信不少人體驗了一把。然而在實際使用中,只有小公司喜歡把tomcat放在最外面。大企業(yè)都喜歡在tomcat外面使用apache等web server轉發(fā),以便獲得更好的響應速度,或者為了分離靜態(tài)文件,減輕服務器壓力。
對于這樣的情況,你會發(fā)現(xiàn)使用筆者給的POC,這里是無效的,關于這一點,官方如下描述“This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.”他說如果你的tomcat外面還有一層web server做轉發(fā),就會減輕這個漏洞帶來的危害。
也許大家看到這個,放心了很多,就沒有修補。
官方這么講,是什么原理呢?我們看下攻擊的POC:
| POST /CodePK/updateinfo HTTP/1.1
Host: localhost Keep-Alive: 300 Connection: keep-alive transfer-encoding: buffered Content-Length: 145 u_uid=admin&u_pwd0=123456&u_pwd1=&u_pwd2=&u_email=rfes%40rfes.com&u_location=B2B&u_lang=1&u_web=22222222&u_quote=ffvd&u_submit=%E6%8F%90%E4%BA%A4 |
遇到這樣的HTTP頭,apache會因為有”transfer-encoding: buffered”,則自動攔截下來,自己處理掉這個數(shù)據(jù)包,不交給tomcat處理,并直接返回錯誤。這是出于apache自己的原因造成的,但是這不重要。重要的是,這個攔截的機制,能否被繞過。TOMCAT仍然老老實實的在apache后面等候數(shù)據(jù)包,如果能繞過,它就會再次忠實的睡大覺。要繞過apache的“自動攔截”(這個名字好記點),就必須讓apache不認識這個頭。
發(fā)個數(shù)據(jù)包,這是攔截后返回的信息:
| A:\tools>nc -vv localhost 80 < aa.txt
DNS fwd/rev mismatch: kxlzx != localhost billgates [127.0.0.1] 80 (http) open HTTP/1.1 500 Internal Server Error ……..省略
The server encountered an internal error or misconfiguration and was unable to complete your request. …….省略 |
Apache返回了500 Internal Server Error,如果去掉那個頭”transfer-encoding: buffered”,返回就200 OK了,但是也就打不死了。
看起來這是個死循環(huán),永遠搞不定,所以tomcat官方也說了能減輕危害。
但是,如果apache和tomcat對某些字符的理解不一致,可能會apache放過某些字符,但是tomcat卻剛巧認識,又如果這個字符剛好能影響到這里,就會bypass這個所謂的“防御架構”,所以我們找找看有沒有這樣“猥瑣”的字符存在。
Apache和Tomcat實現(xiàn)原理不一樣(廢話),所以,對一些字符可能理解不一致,是正常的。
我們先看看大家對http heads的分段是如何理解的,我查到“CRLF”,從apache源碼中看到,它把crlf定義為“\r\n”,轉換為也就是16進制的“0D 0A”(為什么提16進制等下講),這個供參考:https://svn.apache.org/repos/asf/httpd/flood/trunk/flood_test.c
其實我不熟悉C,也不知道這段主要是做什么的,但是看到它的確定義了
“#define CRLF "\r\n"”,只有這一個對crlf的定義。
這有什么用呢?這其實表示,apache所理解CRLF,就是“\r\n”,它不認識“\n\r”(看仔細點,反過來了)。
悲劇的是,tomcat和JBOSS認識它們,并且很喜歡它們!
Tomcat和jboss對這個東西的定義含義是
“If (xx==’\r’|| xx==’\n’)”
就是說,不但把字符反過來寫它們認識,就算拆成骨頭,TOMCAT和JBOSS也認識。
知道了這個關鍵點,下面思路就有了。我們把”transfer-encoding: buffered”這個字段,偽裝成其他字段的一部分,讓apache放過去,交給tomcat處理就可以了。
POC:
于是我使用16進制編輯器,UltraEdit打開我復制出來的數(shù)據(jù)包文件aa.txt
找到
transfer-encoding: buffered
把這一行之前的字符
注意括起來的兩個地方,把它們順序分別顛倒一下,兩個地方的“0D 0A”都改為“0A 0D”。改后如下:
原來包是這樣的:
| Connection: keep-alive 這是字段1
transfer-encoding: buffered 這是字段2 Content-Length: 145 這是字段3 |
三個字段其實屬于同一個字符串,他們的間隔本來是“\r\n”,我們改為“\n\r”。一旦這個包發(fā)給apache后,apache認為只有一個字段”Connection”過來了,接著就把這個字段原封不動的交給tomcat。#p#
可憐的tomcat看到這個包,卻認為它是三個字段,解開了這個炸藥包,所以,砰。。。掛了
現(xiàn)在把我改后的文件,使用nc提交上去:
| A:\tools>nc -vv localhost 80 < aa.txt
DNS fwd/rev mismatch: kxlzx != localhost billgates [127.0.0.1] 80 (http) open HTTP/1.1 404 Not Found Date: Sat, 24 Jul 2010 01:48:34 GMT Server: Apache-Coyote/1.1 Content-Type: text/html;charset=utf-8 Content-Length: 1006 Keep-Alive: timeout=5, max=100 Connection: Keep-Alive |
