网上大家可能找不到“LOL”的http方法,当然,http方法也的确不存在什么LOL方法。第一次听说这个概念,是在DEFCON GROUP 0531 极客会议上,不好意思,忘记是哪个团队提及的了。
为什么要用LOL方法呢?其实什么命名都无所谓,只要不是默认的HTTP方法就可以,就可以实现对被限制网页的访问,此次以LOL方法命名呢,也算是庆祝下最近的埃及法老复活事件。
之所以今天突然写下这篇文章,是因为代码审计恰好遇到了,那么,刚好给大家来讲解一下这个漏洞究竟是如何形成的,同时也给开发者提供一点小小的心得,嗯,据不完全统计与实践php、J2E均存在此漏洞。
web.xml文件,对于J2E大佬来讲是再熟悉不过了。作为小白的我们,在好多Web应用的代码中,都有留意到过,尤其是一些框架如springMVC更是将它最为一个比较重要的配置项,那么,这个文件究竟是用来做什么的呢?
web.xml文件是用来初始化配置信息:比如Welcome页面、servlet、servlet-mapping、filter、listener、启动加载级别等。当你的web工程没用到这些时,你甚至可以不用web.xml文件来配置你的Application,关于它其中的元素实在太多,我们今天就不一一展开讲解了,直接今天的探究。
环境:tomcat6.0 IDE:eclipse
我们首先在web.xml中提供建立一个文件保护规则,大体翻译一下:就是只允许tomcat用户使用DELETE、GET、POST、PUT方法去访问我们的rabbit.jsp文件,即受保护的资源,保护的身份验证方式,采用BASIC验证。
然后我们建立一个简单的jsp文件作为我们的测试文件,也就是受保护的rabbit.jsp文件。
然后通过配置tomcat-user.xml实现role管理,添加刚刚我们提到的tomcat用户。
我们以输入url的方式,即GET方式去访问目标资源,发现目标资源果然受到了保护,一些从事渗透行业的小伙伴应该也碰到了此类情况,咋整?爆破?不好意思,该登录验证为加密传输,如果爆破的话也只能采用手工爆破。
我们来换个思路,祭出我们今天的重点大招。通过篡改HTTP请求的方式成功访问到了文件内容!
这个漏洞是怎么形成的呢?关于这个问题的探讨,网上的资料真的是太,,太,,少了。其实包括PHP, JAVA EE在内的许多平台都默认允许使用任意的HTTP请求,而且中间件会以GET方式响应不能识别的HTTP请求,这就是漏洞的成因。
刚刚也提到了,为什么是许多平台呢,因为如果平台是tomcat7你就会看到501的界面,因为呢,还有许多平台存在如下规则:方法名称是区分大小写的,当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Mothod Not Allowed);当服务器不认识或者不支持对应的请求方法时,应返回状态码501(Not Implemented)。
那么,我们的研究目标也就很明确了,究竟那些平台存在该漏洞呢?我给大家提供如下可以版本,有空给大家慢慢验证,大家有验证过的,也可以通过多种途径反馈给我。
APACHE 2.2.8
JBOSS 4.2.2
WEBSPERE 6.1
TOMCAT 6.0
IIS 6.0
WEBLOGIC 8.2
当然,到这里还没有结束。给使用相关平台并从事开发的小伙伴们交代几句:虽然你现在去网上搜索如何关闭不安全的HTTP方法,得到的结果几乎全都是如何配置黑名单。但我还是要从安全开发角度提醒诸位,不要使用黑名单,请使用白名单。指定一个授权策略,仅列出允许进行的操作,拒绝所有其他操作。不要在安全限制中指定 HTTP 方法。这将确保您的安全限制都能够应用于所有 HTTP 动词。
给大家提供个简单的例子
#修复前代码
<security-constraint>
<display-name>Admin Constraint</display-name>
<web-resource-collection>
<web-resource-name>Admin Area</web-resource-name>
<url-pattern>/pages/index.jsp</url-pattern>
<url-pattern>/admin/*.do</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<description>only admin</description>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
#修复后代码
<security-constraint>
<display-name>Admin Constraint</display-name>
<web-resource-collection>
<web-resource-name>Admin Area</web-resource-name>
<url-pattern>/pages/index.jsp</url-pattern>
<url-pattern>/admin/*.do</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>only admin</description>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
总结一下:我们能利用该漏洞干什么呢?对于一些受保护的资源文件,我们可以通过绕过http请求规则来绕过身份验证,访问敏感界面甚至是管理界面,我相信9成的开发会使用黑名单的方式,庆幸你所使用的中间件帮助你返回了501,而不是默认GET响应吧。
虽然花了两天半的时间,才把这看似弱鸡的漏洞研究透,但、这一刻真的值得,嘤。