怎么实现ApacheTomcat样例目录session操纵漏洞-创新互联

这期内容当中小编将会给大家带来有关怎么实现Apache Tomcat样例目录session操纵漏洞,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

成都网站设计、成都网站建设服务团队是一支充满着热情的团队,执着、敏锐、追求更好,是创新互联的标准与要求,同时竭诚为客户提供服务是我们的理念。创新互联把每个网站当做一个产品来开发,精雕细琢,追求一名工匠心中的细致,我们更用心!

0x00   背景

前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。

Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对session进行操纵。因为session是全局通用的,所以用户可以通过操纵session获取管理员权限。

0x01   漏洞分析演示

       首先,我们先来看看SessionExample的部分源码

    //表单代码

       out.println("

");

       out.print("

    out.print(response.encodeURL("SessionExample"));

       out.print("\" ");

       out.println("method=POST>");

       out.println(rb.getString("sessions.dataname"));

       out.println("");

       out.println("
");

       out.println(rb.getString("sessions.datavalue"));

       out.println("");

       out.println("
");

       out.println("");

    out.println("

");

    //核心代码

    HttpSession session = request.getSession(true);

       out.println(rb.getString("sessions.id") + " " +session.getId());

       out.println("
");

       out.println(rb.getString("sessions.created") + " ");

       out.println(new Date(session.getCreationTime()) +"
");

       out.println(rb.getString("sessions.lastaccessed") + "");

       out.println(new Date(session.getLastAccessedTime()));

       String dataName = request.getParameter("dataname");//获取dataname参数的值

       String dataValue = request.getParameter("datavalue");//获取datavalue参数的值

       if (dataName != null && dataValue != null) {

           session.setAttribute(dataName, dataValue);//将dataname和datavalue写入session

       }

       用户通过表单提交dataname和datavalue参数,然后通过request.getParameter()函数获取这两个参数的值,再通过session.setAttribute()函数将dataname和datavalue的值写入session。因为session全局通用的特性,所以可以通过操纵session参数的值来获取网站管理员权限的目的。

       举个例子:

       我们先来编写login.jsp,login2.jsp,index.jsp这三个页面,通过这三个页面来模拟一般网站身份验证的过程。

   login.jsp

   

   用户名:

   密码:

   

   

   login2.jsp

   <%

   if(request.getParameter("username") != null &&

   request.getParameter("password")!= null) {

     String username =request.getParameter("username");

     String password =request.getParameter("password");

     //验证身份

     if (username.equals("admin")&& password.equals("admin")) {

       session.setAttribute("login","admin");

       response.sendRedirect("index.jsp");

       }else {

           response.sendRedirect("login.jsp");

       }

     }

   %>

   index.jsp

   <%

   if(session.getAttribute("login")!= null &&

   ((String)session.getAttribute("login")).equals("admin")){

       out.println("Login");

   } else{

      response.sendRedirect("login.jsp");

      }

   %>

我们直接打开网站后台,即index.jsp

http://127.0.0.1:8080/examples/index.jsp

怎么实现Apache Tomcat样例目录session操纵漏洞

发现被重定向到login.jsp了,而且在不知道密码的前提下,我们是无法登陆进去的。接下将演示如何通过操纵session进入网站后台

打开SessionExample

http://127.0.0.1:8080/examples/servlets/servlet/SessionExample

在Name of Session Attribute: 里输入login

在Value of Session Attribute:里输入admin

怎么实现Apache Tomcat样例目录session操纵漏洞

提交后显示login=admin已经写入session

怎么实现Apache Tomcat样例目录session操纵漏洞

再次打开index.jsp,显示成功登录

怎么实现Apache Tomcat样例目录session操纵漏洞

0x02 修复建议

0x03 题外话

      不觉得这个挺适合做后门的吗?

      <%setAttribute("request.getParameter("u")", " request.getParameter("a")%>

      “u”和”a”的值看后台源码

上述就是小编为大家分享的怎么实现Apache Tomcat样例目录session操纵漏洞了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注创新互联行业资讯频道。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网页名称:怎么实现ApacheTomcat样例目录session操纵漏洞-创新互联
转载来于:http://pcwzsj.com/article/djciej.html