繞過Apache httpproxy 繼續DOS TOMCAT/JBOSS
tomcat在外面使用apache的情況,你會發現使用POC,這里是無效的,關于這一點,官方如下描述“This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.”他說如果你的tomcat外面還有一層web server做轉發,就會減輕這個漏洞帶來的危害。
從長遠的角度講,一個完整的安全方案,應該是和現有架構本身的特性,是分開的,它并不能因為現有應用架構攔截了攻擊,于是自己就表示影響不大。如果安全方案總是依靠應用現有的特性,那就要承受可能被繞過的隱患,這種隱患,導致我們總有一天,會不得不把補丁老老實實的打上去。如本文就是一個很好的例子。
也許大家看到這個,放心了很多,就沒有修補。
官方這么講,是什么原理呢?我們看下攻擊的POC:
遇到這樣的HTTP頭,apache會因為有”transfer-encoding: buffered”,則自動攔截下來,自己處理掉這個數據包,不交給tomcat處理,并直接返回錯誤。這是出于apache自己的原因造成的,但是這不重要。重要的是,這個攔截的機制,能否被繞過。TOMCAT仍然老老實實的在apache后面等候數據包,如果能繞過,它就會再次忠實的睡大覺。要繞過apache的“自動攔截”(這個名字好記點),就必須讓apache不認識這個頭。
發個數據包,這是攔截后返回的信息:
Apache返回了500 Internal Server Error,如果去掉那個頭”transfer-encoding: buffered”,返回就200 OK了,但是也就打不死了。
看起來這是個死循環,永遠搞不定,所以tomcat官方也說了能減輕危害。
但是,如果apache和tomcat對某些字符的理解不一致,可能會apache放過某些字符,但是tomcat卻剛巧認識,又如果這個字符剛好能影響到這里,就會bypass這個所謂的“防御架構”,所以我們找找看有沒有這樣“猥瑣”的字符存在。
Apache和Tomcat實現原理不一樣(廢,所以,對一些字符可能理解不一致,是正常的。
我們先看看大家對http heads的分段是如何理解的,我查到“CRLF”,從apache源碼中看到,它把crlf定義為“\r\n”,轉換為也就是16進制的“0D 0A”,“#define CRLF "\r\n"”,只有這一個對crlf的定義。
這有什么用呢?這其實表示,apache所理解CRLF,就是“\r\n”,它不認識“\n\r”(看仔細點,反過來了)。
悲劇的是,tomcat和JBOSS認識它們,并且很喜歡它們!
Tomcat和jboss對這個東西的定義含義是
“If (xx==’\r’|| xx==’\n’)”
就是說,不但把字符反過來寫它們認識,就算拆成骨頭,TOMCAT和JBOSS也認識。
知道了這個關鍵點,下面思路就有了。我們把”transfer-encoding: buffered”這個字段,偽裝成其他字段的一部分,讓apache放過去,交給tomcat處理就可以了。
POC:
于是我使用16進制編輯器,UltraEdit打開我復制出來的數據包文件aa.txt
找到 transfer-encoding: buffered
把這一行之前的字符
注意括起來的兩個地方,把它們順序分別顛倒一下,兩個地方的“0D 0A”都改為“0A 0D”。改后如下:
原來包是這樣的:
Connection: keep-alive 這是字段1
transfer-encoding: buffered 這是字段2
Content-Length: 145 這是字段3
三個字段其實屬于同一個字符串,他們的間隔本來是“\r\n”,我們改為“\n\r”。一旦這個包發給apache后,apache認為只有一個字段”Connection”過來了,接著就把這個字段原封不動的交給tomcat。
可憐的tomcat看到這個包,卻認為它是三個字段,解開了這個炸藥包,所以,砰。。。掛了
現在把我改后的文件,使用nc提交上去:
當有信息返回時,再看看tomcat的控制臺,已經一大堆異常了,測試apache后面的JBOSS也是一樣,統統掛掉。
所以,遇到這樣的漏洞,能對服務器造成極大危害,而我們的架構又剛好符合官方描述的“安全狀態”時,可以放緩處理,但是不能不處理。很多官方最喜歡做的,就是完全站在開發產品的角度,不懂安全的含義,就直接針對POC,出一套解決方案。無數的事實證明,這樣的方案,是最容易被繞過的。
apache的http proxy后面的tomcat和JBOSS,需要及時修補,大家就不要存在僥幸心理了。
【編輯推薦】
