BEA WebLogic 暴露源代码漏洞

2016-01-29 12:46 136 1 收藏

BEA WebLogic 暴露源代码漏洞,BEA WebLogic 暴露源代码漏洞

【 tulaoshi.com - Java 】

涉及程序:
BEA WebLogic Server and Express 5.1.x/4.5x/4.0x/3.1.8

描述:
BEA WebLogic 暴露源代码漏洞

详细:
受影响版本
所有系统上的
BEA WebLogic Enterprise 5.1.x
BEA WebLogic Server and Express 5.1.x
BEA WebLogic Server and Express 4.5.x
BEA WebLogic Server and Express 4.0.x
BEA WebLogic Server and Express 3.1.8

这个漏洞使攻击者能读取 Web 目录下所有文件的源代码。
WebLogic 依赖四个主要 Java Servlets to 服务不同类型的文件。这些 servlets 是:

FileServlet - for 简单 HTML 页面
SSIServlet - for Server Side Includes 页面
PageCompileServlet - for JHTML 页面
JSPServlet - for Java Server 页面

看着weblogic.properties 文件, 这儿是各个 servlets 的注册值 :

weblogic.httpd.register.file=weblogic.servlet.FileServlet
weblogic.httpd.register.*.shtml=weblogic.servlet.ServerSideIncludeServlet
weblogic.httpd.register.*.jhtml=weblogic.servlet.jhtmlc.PageCompileServlet
weblogic.httpd.register.*.jsp=weblogic.servlet.JSPServlet

更多的 weblogic.properties 文件, 如果一个请求文件是没有注册管理的,那么就会调用一个默认的 servlet 。以下是展示默认的 servlet 是如何注册的。

# Default servlet registration
# ------------------------------------------------
# Virtual name of the default servlet if no matching servlet
# is found weblogic.httpd.defaultServlet=file

因此如果 URL 中的文件路径开头为 "/file/" , 将会引致 WebLogic 调用默认的 servlet, 那将会使网页未加分析和编译而直接显示。

论证:
只要在想看的文件原来的 URL 路径之前加入 "/file/" 就会让文件未经分析和编译,直接暴露源代码。如:

http://site.running.weblogic/login.jsp

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/java/)

那么只要访问

http://site.running.weblogic/file/login.jsp

就会在 WEB 浏览器里看到文件的内容。

以下是使用方法:
1. 通过强制使用 SSIServlet 查看未分析的页面 :
----------------------------------------------------------
服务器站点通过 WebLogic 中的 SSIServlet 处理页面,它在 weblogic.properties 文件中注册以下信息:

weblogic.httpd.register.*.shtml=
weblogic.servlet.ServerSideIncludeServlet

通过 URL 使用 SSIServlet 自动处理通配符 (*) 。因此 如果文件路径开头为 /*.shtml/,将强制文件由 SSIServlet 处理。如果使用其它文件类型如 .jsp 和 .jhtml, 就能查看未分析的 jsp 和 jhtml 代码。举例:
http://www.xxx.com/*.shtml/login.jsp

2. 通过强制使用 FileServlet 查看未分析的页面 :
-----------------------------------------------------------
WebLogic 使用 FileServlet 配置 ConsoleHelp servlet ,在 weblogic.properties 文件的以下内容可得知:

# For Console help. Do not modify.
weblogic.httpd.register.ConsoleHelp=
weblogic.servlet.FileServlet
weblogic.httpd.initArgs.ConsoleHelp=
defaultFilename=/weblogic/admin/help/NoContent.html
weblogic.allow.execute.weblogic.servlet.ConsoleHelp=everyone

因此如果文件路径以 /ConsoleHelp/ 开头将导致 WebLogic 使用 FileServlet,使未分析或编译的文件作页面显示出来,举例:
http://www.xxx.com/ConsoleHelp/login.jsp

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/java/)

解决方案:
不要使用示例中的设置方法设置 FileServlet 。这可能会让你的 JSP/JHTML 文件的源代码暴露出来。请查看在线文档:

http://www.weblogic.com/docs51/admindocs/http.html#file

示例的 registrations 如下:

weblogic.httpd.register.file=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.file=defaultFilename=index.html
weblogic.httpd.defaultServlet=file

有两种方法可以避免这个问题:

* 注册那些文件 servlet 使用随机用户名,加大猜测难度。例如使用象这样注册文件 servlet 为 12foo34:

weblogic.httpd.register.12foo34=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.12foo34=defaultFilename=index.html
weblogic.httpd.defaultServlet=12foo34

* 注册文件 servlet 使用 wild cards 声明你将使用所有这些文件扩展名作服务。举例注册文件 servlet 为 .html 文件服务:

weblogic.httpd.register.*.html=weblogic.servlet.FileServlet
weblogic.httpd.initArgs.*.html=defaultFilename=index.html
weblogic.httpd.defaultServlet=*.html

使用上面的方法重复加入以下类型的文件 *.gif, *.jpg, *.pdf, *.txt, etc.

注意:这些信息是备有证明在 BE

来源:http://www.tulaoshi.com/n/20160129/1487495.html

延伸阅读
标签: Web开发
AJAXSuggest源代码的实例 下面的源代码属于上一节的AJAX实例。 您可以拷贝粘贴这些代码,然后亲自测试一下。 AJAXHTML页面 这是HTML页面。它包含了一个简单的HTML表单,以及一个指向JavaScript的链接。 html head scriptsrc="clienthint.js"/script /head bo...
标签: ASP
  从网上兴致冲冲地下载了ASP源代码,准备学习研究的时候.一打开文件,天书般的加密代码.很让人郁闷吧 :( 在网上是找到了解密的方法,得一个文件挨一个文件地打开,复制,粘贴,解密,再复制,再粘贴,再保存...... 如果一个ASP程序有几百个文件??? 解决办法来了.. decode.asp <% @Language="JavaScript" % <% /*  *-----------...
因为connection对象仅仅跟host对象相关,且处理一个套接字,所以其数据成员仅有:private Host _host; //指向宿主对象 private Socket _socket; //当前套接字我们知道host调用且仅了conn.ProcessOneRequest();方法,所以我们首先要找到此方法(coneetion很多方法,我们先看看主要的): public void ProcessOneRequest() { // wait for at leas...
标签: Web开发
这招算是目前网上公布的防止查看源代码的方法中最好的了,当然了,要看还是办法的,比如在地址栏中输入"javascript:alert(document.documentElement.outerHTML);"。 [Ctrl+A 全选 注:如需引入外部Js需刷新才能执行]
标签: Web开发
AjaxTags项目是在现有的Struts HTML标记库的基础上,添加对AJAX支持。 AjaxTags改写了Struts标签类org.apache.struts.taglib.html.FormTag和org.apache.struts.taglib.html.BaseHandlerTag,并使用Struts的plugin技术,使得Struts提供了对AJAX的支持。 以下是jsp中简单的示例: html:form action="example1" ajaxRef="example1"> ...

经验教程

741

收藏

80

精华推荐

我的论坛源代码(一)

我的论坛源代码(一)

好想吃掉你啊Xx

我的论坛源代码(二)

我的论坛源代码(二)

萧县魏民生

关于网页源代码屏蔽(3)

关于网页源代码屏蔽(3)

7eltcj9gn7k4yv

热门标签

微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部