Jetty Ambiguous Paths 信息泄露漏洞(CVE-2021-28164/CVE-2021-34429)

已于 2024-07-09 14:15:23 修改
阅读量1.9k 收藏 21
点赞数 31
文章标签: java 安全 网络安全 jetty
于 2024-07-07 21:43:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62056583/article/details/140252876
版权

Jetty Ambiguous Paths 信息泄露漏洞 (CVE-2021-28164/CVE-2021-34429)

1.实验目的

1、能成功搭建漏洞测试与测试工具所需的运行环境

2、能成功利用漏洞原理测试复现漏洞

2覆盖知识点

Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定。 

影响版本

Jetty9.4.37-9.4.42、10.0.1-10.0.5、11.0.1-11.0.5

漏洞原理

在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定

在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,在RFC3986中规定...称为点段,这是为了路径名层次结构中的相对引用定义的,它们在一些操作系统文件目录中分别代表当前目录和父目录,但是在Jetty中这些点段仅在URL路径中解释层次结构,在解析过程中通过解析去除一部分,所以我们在解析URL路径的时候首先需要处理.和..。

3实验环境与操作

实验环境

1、VMware Workstation 16

2、Ubuntu 20.4(靶场安装环境)

IP:192.168.32.135

3、Vulhub靶场

4、Burp Suite

漏洞复现

(CVE-2021-28164)复现

环境搭建

启动Ubuntu靶机进入相应镜像的目录下拉取镜像环境

cd/vulhub/jetty/CVE-2021-28164

docker-compose up -d

启动完成后可以在外面访问web应用,是一个example网站。http://your:8080/

如果直接访问http://your:8080/WEB-INF/web.xml,我们是无法直接访问到的因为代码对于web.xml文件进行了访问限制。

但由于jetty为了去符合RFC3986规范,选择性去支持存在歧义的URL这就给我们攻击提供了方式。

我们通过burpsuite进行对于数据包的抓取

当我们构建payload:/.%00/WEB-INF/web.xml时它能够完成对于URL安全检测的绕过完成对于隐私数据的访问。

(CVE-2021-34429)复现

环境搭建

进入相应镜像的目录中

Cd/vulhub/jetty/CVE-2021-34429

启动docker

Docker-compose up -d

(ps:当我们想要同时启动这两个镜像的容器的时候因为它们两个的容器开启的端口相同会出现调试问题,我们可以把其中一个端口改成8888,参考how-to-debug-in-jetty-source-code

开启成功后我们访问web应用,开启成功后还是以一个example网页呈现。http://yourip:端口/

使用9.4.37版本构造的payload是不能够对于web.xml文件安全检测的绕过的,因为它在修复漏洞时对于URL的检测防范了已有的漏洞。

构建另类的payload

Payload1:/%u002e/WEB-INF/web.xml

Payload2:/.%00/WEB-INF/web.xml

Paylpoad3:/a/b/..%00/WEB-INF/web.xml

上述payload对于CVE-2021-28164都是可以用的,因为CVE-2021-34429的payload都是对于CVE-2021-28164的绕过利用。

漏洞分析

总体分析过程参考先知社区博客Eclipse Jetty WEB-INF敏感信息泄露漏洞分析,可以知道在9.4.40版本中以payload1为例对于url的解析过程是

而在9.4.43的版本它直接是将二三步骤进行互换,即先解码再进行规范化,这对于当前构造的所有payload将不再适用。所以对于jetty来说在9.4.37版本中它按照RFC3986规范的标准解析出现了针对于这一现象的解析绕过漏洞,但是RFC3986规范是考虑到了前后端数据传输过程中对于歧义数据的认识标准,因为在前后端如果不对这种情况加以规范则会出现/%2e/a/b的前后端认知不一致的错误出现。

针对在前端解析url编码的问题所在,我们可以选择在安全校验中可以选择将二次规范化的步骤提前至第四步来,又或者说进行多步规范化处理,虽然会耗费更多的资源但是用来根本上解决一个标准解析的问题出现也是可以接受的。

总体思路来自于上述介绍的博客,博主详细描述了整个过程的流程和原理。

参考资料链接

https://datatracker.ietf.org/doc/html/rfc3986#section-3.3

Eclipse Jetty WEB-INF敏感信息泄露漏洞分析

霞日
关注
[ vulhub漏洞复现篇 ] Jetty 不明确路径信息泄露漏洞CVE-2021-28164
qq_51577576的博客
09-11 1755
[ vulhub漏洞复现篇 ] Jetty 不明确路径信息泄露漏洞CVE-2021-28164) . 和 .. 称为点段,都是为路径名层次结构中的相对引用而定义的,它们在一些操作系统文件目录结构中分别代表当前目录和父目录。但是与文件系统不同的是,这些点段仅在 URI 路径中解释层次结构,并作为解析过程的一部分被删除。也就是说在解析URI路径时,需要先处理 . 和 .. Jetty为了符合这种处理方式,却导致了一系列的漏洞产生
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
qq_51577576的博客
09-12 1712
[ vulhub漏洞复现篇 ] Jetty Utility Servlets ConcatServlet 双重解码信息泄露漏洞CVE-2021-28169
vulhub漏洞复现30_Jetty
weixin_44193247的博客
02-04 3729
vulhub漏洞复现练习篇
Jetty HTTP2.0 DoS漏洞分析
BASK2311的博客
05-18 2232
漏洞出现的Jetty版本是9.4.46,理论上小于该版本的Jetty在使用HTTP2.0协议功能的时候都可能会受到DoS攻击。Jetty团队已修复该漏洞。所以,如果使用还在使用低版本Jetty的同学建议升级。作者:CrabGeek链接:https://juejin.cn/post/7233409321340715067。
Jetty 不明确路径信息泄露漏洞CVE-2021-28164
m0_52663093的博客
06-14 3806
Jetty 不明确路径信息泄露漏洞CVE-2021-28164
vulfocus 靶场 jetty 敏感信息泄露CVE-2021-28169)
没有故事
04-23 493
对于 <= 9.4.40、<= 10.0.2、<= 11.0.2 的 Eclipse Jetty 版本,对带有双重编码路径的 ConcatServlet 的请求可以访问 WEB-INF 目录中的受保护资源。例如,对 `/concat?/%2557EB-INF/web.xml` 的请求可以检索 web.xml 文件。这可能会泄露有关 Web 应用程序实施的敏感信息。对W进行编码为 %2557,访问:static?
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞CVE-
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 2245
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4552
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
安全漏洞】Emissary 的SSRF漏洞(CVE-2021-32639)发现过程
HBohan的博客
09-09 588
导语:通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093)。 通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093),但也发现了新的漏洞: 不安全的反序列化漏洞 (CVE-2021-32634); 服务器端请求伪造漏洞(CVE-2021-32639); 原始代码注入CVE (CVE-2021-32096)是由社区贡献的CodeQL查询标记的; 到目前为止,还可以通过默认的.
eclipse jetty插件
05-16
run-jetty-run是一个新的jetty eclipse插件通过该插件可以直接在Eclipse环境中启动、停止 Jetty ,同时进行在线调试而无需重启服务。 http://run-jetty-run.googlecode.com/svn/trunk/updatesite 由于谷歌退出中国,导致在线安装失败,只能离线安装,特此提供。
通过CVE-2021-43297漏洞在Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1674
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析
weixin_50464560的博客
10-04 8267
本文主要从Jetty的两个WEB-INF信息泄露漏洞CVE-2021-28164CVE-2021-34429,来分析如何通过编码和相对路径来绕过对敏感信息的校验,以及Jetty中对URL的PATH的解析方式和存在的问题。 漏洞信息 Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 在Jetty9.4.37版本...
CVE-2021-28164Jetty 不明确路径信息泄露漏洞
2301_77565393的博客
06-27 355
payload1:/%u002e/WEB-INF/web.xml 利用这个payload 用于绕过限制。执行以下命令以启动 Jetty 9.4.37 服务器。服务器启动后,请访问以查看示例页面。
web服务器/中间件漏洞系列6:jetty漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-02 1万+
JETTY简介: Jetty作为Eclipse基金会的一部分,是一个纯粹的基于Java的网页服务器和Java Servlet容器,其支持最新的Java Servlet API,同时支持WebSocket,SPDY,HTTP/2协议。 一、CVE-2021-28164 [34429] 敏感信息泄露 1、漏洞简介: 在Jetty9.4.37版本中,为了符合RFC3986中的规范,选择性地支持可能有歧义解释的URI,默认模式允许URL编码,简单看下RFC3986(替代RFC2396)的规定 其大致意思是:.和.
漏洞复现】CVE-2021-34429 Jetty WEB-INF 敏感信息泄露漏洞
m0_53121608的博客
07-16 1484
漏洞复现】CVE-2021-34429 Jetty WEB-INF 敏感信息泄露漏洞
jetty bleed漏洞利用工具
weixin_30460489的博客
10-09 1874
两个exp: https://github.com/AppSecConsulting/Pentest-Tools/blob/master/jetty-bleed.py https://github.com/GDSSecurity/Jetleak-Testing-Script from subprocess import Popen def runexp(filename,t)...
最新系统漏洞--Eclipse Jetty信息泄露漏洞
weixin_48555088的博客
10-22 1万+
最新系统漏洞2021年10月22日 受影响系统: Eclipse Jetty <= 9.4.40 Eclipse Jetty <= 11.0.2 Eclipse Jetty <= 10.0.2 描述: CVE(CAN) ID: CVE-2021-28169 Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞
CVE-2021-34429
07-29
CVE-2021-34429Jetty服务器中的一个漏洞,该漏洞Jetty 9.4.43版本中修复。\[2\]具体的漏洞利用过程需要进入CVE-2021-34429环境,可以通过以下命令进入该环境:cd vulhub/jetty/CVE-2021-34429。\[1\] 关于CVE-2021-34429的详细利用过程和修复方法,可以参考相关的安全公告和文档。由于你提供的引用内容中没有提到具体的漏洞利用细节,我无法提供更详细的信息。如果你需要进一步了解CVE-2021-34429的细节,请参考相关的安全公告和漏洞报告。 #### 引用[.reference_title] - *1* [[ vulhub漏洞复现篇 ] Jetty WEB-INF 文件读取复现CVE-2021-34429](https://blog.csdn.net/qq_51577576/article/details/126811451)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v4^insert_chatgpt"}} ] [.reference_item] - *2* *3* [(CVE-2021-28164/CVE-2021-34429)Eclipse Jetty WEB-INF敏感信息泄露漏洞分析](https://blog.csdn.net/weixin_50464560/article/details/120608463)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v4^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值