漏洞名称

漏洞描述

在Apache Tomcat中发现了一个被归类为关键的漏洞，该漏洞在8.5.4(Application Server Soft ware)以下。受影响的是组件CGI Servlet的未知函数。Apache Tomcat < 8.5.4版本启用CGI Servlet时，RFC 3875 section 4.1.18存在命名空间冲突，HTTP_PROXY环境变量未能过滤构造的客户端数据。远程攻击者构造HTTP请求的Proxy，可将应用的HTTP数据流重定向到任意代理服务器。

影响版本

8.0 <= Apache Tomcat <= 8.5.4
Redhat Enterprise_Linux_Server 6.0
6.0 <= Apache Tomcat <= 6.0.45
Oracle Linux 6
Redhat Enterprise_Linux_Hpc_Node_Eus 7.2
Redhat Enterprise_Linux_Hpc_Node 6.0
Redhat Enterprise_Linux_Workstation 6.0
HP System_Management_Homepage <= 7.5.5.0
7.0 <= Apache Tomcat <= 7.0.70
Redhat Enterprise_Linux_Hpc_Node 7.0
Redhat Enterprise_Linux_Server 7.0
Redhat Enterprise_Linux_Server_Aus 7.2
Redhat Enterprise_Linux_Server_Tus 7.2
Redhat Enterprise_Linux_Desktop 6.0
Redhat Enterprise_Linux_Server_Eus 7.2
Redhat Enterprise_Linux_Desktop 7.0
Redhat Enterprise_Linux_Workstation 7.0
Oracle Linux 7

漏洞复现

环境搭建

受害者IP：192.168.63.129:8080
攻击者IP：192.168.63.1

环境下载地址，这里下载8.5.3版本。

https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.3/bin/

启动tomcat

./startup.bat

环境启动后，访问http://192.168.63.129:8080即可看到一个tomcat页面，说明已成功启动。

漏洞利用

复现明天继续，今天有点累了

修复建议

总结

攻击者构造HTTP请求的Proxy字段为True，表示启用了代理。这意味着所有的网络请求将会通过一个中间代理服务器转发，而不是直接连接到目标服务器。但是，通常情况下，仅设置"proxy: true"是不够的，还需要提供代理服务器的详细信息，如IP地址和端口号。如果攻击成功，在响应头中返回的状态码为200，且与提供代理服务器存在流量交互。然而，在响应头中返回状态码为200，且在响应体中返回的JSON对象似乎是在响应一个成功的操作请求，返回了一个包含版本、故事、步骤和规则的配置或脚本内容。这些内容可能用于驱动一个对话系统或其他类型的应用程序。因未提供代理服务器的IP和端口，有可能是攻击者的探测漏洞行为，无法判断是否攻击，还需要结合网络日志和流量日志进行关联分析。