前言:Apache Tomcat默认安装包含examples目录,里面存着众多的样例,其中session样例(目标/examples/servlets/servlet/SessionExample)允许用户对session进行操纵,因为session是全局通用的,所以用户可以通过操纵session获取管理员权限。
0x001 准备
1.1 编写准备
Goby
漏洞相关资料
1.2 编写区域
漏洞-PoC管理-自定义PoC
![图片[1]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611044841_600697e9b31dbc5fcd32d.png)
![图片[2]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611044856_600697f8ad28fca52f93b.png)
自定义PoC截图
![图片[3]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045014_60069896debf79362d447.png)
1.3 注意事项
名称不可填写中文,否则生成会出错,但后期可修改(只支持字母、数字、下划线)。
若漏洞危害使用中文编写,会导致解决方案显示异常。
![图片[4]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045042_600698b24e18f21a990b0.png)
0x002 漏洞观察
![图片[5]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045071_600698cf1c8d647075bf1.png)
![图片[6]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045083_600698db2f743e4367b72.png)
地址:/examples/servlets/servlet/SessionExample 标题:Apache Tomcat 信息:Value of Session Attribute: 信息:Name of Session Attribute:
0x003 填写内容
3.1 漏洞信息
根据内容填写就好,但要注意名称需英文,若需填写其它信息点击[高级配置]。
![图片[7]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045151_6006991fd4ceb44560dcc.png)
3.2 测试
根据请求与响应信息进行填写,需注意响应测试内容想多添加内容需鼠标左键点击第一个group(根据需求进行增加)或单独编辑PoC文件添加。
![图片[8]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045170_60069932a971fb68b44ae.png)
3.3 点击提交
![图片[9]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045186_60069942b295c4f02774c.png)
3.4 写入监控
通过火绒剑监控到PoC写入位置,为后期修改做准备。
![图片[10]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045203_600699532dc382ed5d4c3.png)
Goby安装目录\golib\exploits\user\English_name.json
0x004 PoC修改
“Name”: “English name” 对应显示名称
![图片[11]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045256_60069988e3de257acf7eb.png)
根据规则添加关键信息
![图片[12]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045278_6006999ecdeb79761d114.png)
{
"type": "item",
"variable": "$body",
"operation": "contains",
"value": "Value of Session Attribute:",
"bz": ""
}
![图片[13]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045302_600699b63032eb5583548.png)
0x005 扫描测试
![图片[14]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045349_600699e52cc652e14f53f.png)
注意:此漏洞常用于安服项目漏洞提交,实战很少应用。
0x006 查缺补漏
测试发现有些站点的界面语言不同,导致关键字没有价值了。
![图片[15]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045402_60069a1a4a549da6b8b8f.png)
后发现一个不错的关键字可进行替换:SessionExample。
![图片[16]-[POC编写]Apache Tomcat样例目录session操纵漏洞 – 作者:cliekkas-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210119/1611045418_60069a2a061d70f9b737d.png)
文章来自Goby社区成员:梦幻的彼岸,转载请注明出处。
来源:freebuf.com 2021-01-19 16:51:52 by: cliekkas
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册