Apache Http Server Reveals Script Source Code to Remote Users And Any Users Can Access The Forbidden Directory ("/WEB-INF/")

Wang Yun <wangyun188@hotmail.com> · 5 Feb 2004 19:12:54 -0000

TOPIC:
======
Apache + Resin Reveals JSP Source Code to Remote Users And Any Users Can Access Resin Forbidden Directory ("/WEB-INF/")

Description:
============
Security vulnerability has been found in Windows NT/2000 Systems that have Apache 1.3.29 + Resin 2.1.12 installed. The vulnerability allows remote users view script Source Code And Access files in the Forbidden Directory.

Exploits:
=========
http://apache/index.jsp%20
It is possible to cause the Apache server to send back the content of index.jsp.

http://apache/WEB-INF../
It is possible to cause the Apache server to send back the list of "/WEB-INF/" Directory.

Analyze:
========
1.Apache think "/WEB-INF../" unequal to "/WEB-INF/" So find this Directory by itself. 
2."/WEB-INF/" Directory not Forbidden in Apache Config files. 
3."d:\resin\doc\>cd WEB-INF.." legit in Windows Systems.

Sorry for my poor english.

lovehacker
China

CHINESE:
========
&#22312;Windows&#19978;&#23433;&#35013;Apache &#21644; Resin&#26469;&#25903;&#25345;JSP&#25110;&#32773;Servlet&#23384;&#22312;&#20004;&#20010;&#38382;&#39064;&#12290;&#39318;&#20808;&#21487;&#33021;&#20250;&#23548;&#33268;&#27844;&#38706;JSP&#25991;&#20214;&#30340;&#28304;&#20195;&#30721;,&#21516;&#26102;&#36824;&#21487;&#33021;&#20801;&#35768;&#29992;&#25143;&#31359;&#36807;?WEB-INF?&#30446;&#24405;&#35775;&#38382;Servlet&#21450;JavaBean&#12290;&#26292;&#38706;JSP&#25991;&#20214;&#28304;&#20195;&#30721;&#30340;&#20855;&#20307;&#26041;&#27861;&#26159;&#22312;JSP&#25991;&#20214;&#21518;&#36319;&#38543;?%20?&#20063;&#23601;&#26159;UNICODE&#32534;&#30721;&#21518;&#30340;&#31354;&#26684;&#65292;&#32780;&#35775;&#38382;?WEB-INF?&#30446;&#24405;&#19979;&#25991;&#20214;&#30340;&#20855;&#20307;&#26041;&#27861;&#26159;&#22312;?WEB-INF?&#21518;&#21152;&#20004;&#20010;&#25110;&#32773;&#26356;&#22810;&#30340;?.?&#12290;

&#20837;&#20405;&#32773;&#32467;&#21512;&#20197;&#19978;&#20004;&#20010;&#38382;&#39064;&#21487;&#20197;&#36731;&#26494;&#30340;&#33719;&#24471;&#25968;&#25454;&#24211;&#23494;&#30721;&#31561;&#37325;&#35201;&#20449;&#24687;&#65292;&#39318;&#20808;&#21033;&#29992;?%20?&#33719;&#24471;JSP&#25991;&#20214;&#30340;&#28304;&#20195;&#30721;&#65292;&#26681;&#25454;&#28304;&#20195;&#30721;&#20102;&#35299;&#21040;JAVABEAN&#30340;&#25991;&#20214;&#21517;&#31216;&#65292;&#20363;&#22914;&#36890;&#36807;<%@ page import="com.my.db.Database"%>&#25105;&#20204;&#23601;&#21487;&#20197;&#30693;&#36947;JAVABEAN&#30340;&#21517;&#31216;&#20026;&#65306;?Database.class?&#65292;&#32780;&#23427;&#25152;&#22312;&#30340;&#30446;&#24405;&#26159;&#65306;?/WEB-INF/CLASSES/COM/MY/DB/?&#12290;&#28982;&#21518;&#25105;&#20204;&#20877;&#21033;&#29992;&#31532;&#20108;&#31181;&#26041;&#27861;&#23545;&#20854;&#36827;&#34892;&#35775;&#38382;&#21363;&#21487;&#33719;&#24471;&#35813;&#25991;&#20214;&#65292;&#36827;&#3
 4892;JAVA&#21453;&#32534;&#35793;&#21518;&#25105;&#20204;&#23601;&#21487;&#20197;&#30475;&#21040;&#20854;&#20013;&#30340;&#37325;&#35201;&#20449;&#24687;&#20102;&#12290;

&#20026;&#20160;&#20040;&#20250;&#20986;&#29616;&#36825;&#26679;&#30340;&#38382;&#39064;&#21602;&#65311;&#20854;&#23454;&#21644;&#25105;&#21457;&#29616;&#30340;&#31532;&#19968;&#20010;APACHE&#28431;&#27934;&#65288;&#21033;&#29992;%5c&#35775;&#38382;WEB&#30446;&#24405;&#22806;&#25991;&#20214;&#65289;&#31867;&#20284;&#65292;&#37117;&#26159;&#30001;&#20110;APACHE&#26159;&#22312;UNIX&#19979;&#24320;&#21457;&#21518;&#31227;&#26893;&#21040;WINDOWS&#19978;&#26469;&#30340;&#65292;*NIX&#19981;&#25903;&#25345;"cd /usr.."&#65292;&#32780;&#22312;Windows&#19979;&#21364;&#26159;&#25903;&#25345;&#30340;&#12290;&#24403;&#29992;&#25143;&#35831;&#27714;?/WEB-INF../?&#26102;APACHE&#24182;&#19981;&#35748;&#20026;&#24212;&#35813;&#23558;&#23427;&#20132;&#32473;RESIN&#22788;&#29702;&#65292;&#32780;&#26159;&#33258;&#24049;&#25214;&#36825;&#20010;&#30446;&#24405;&#65292;&#30001;&#20110;WINDOWS&#25903;&#25345;&#22312;&#30446;&#24405;&#21517;&#21518;&#21152;?.?&#25152;&#20197;APACHE&#25104;&#21151;&#3
 0340;&#25214;&#21040;&#20102;&#23427;&#65292;&#21516;&#26102;&#30001;&#20110;&#22312;APACHE&#30340;&#37197;&#32622;&#20013;&#24182;&#27809;&#26377;&#35201;&#31105;&#27490;&#23545;&#35813;&#30446;&#24405;&#19979;&#30340;&#25991;&#20214;&#36827;&#34892;&#35775;&#38382;&#65292;&#25152;&#20197;APACHE&#35835;&#20986;&#20102;&#25991;&#20214;&#30340;&#20869;&#23481;&#12290;

&#23567;&#24351;&#19981;&#26448;&#65292;&#22914;&#26524;&#26377;&#19981;&#27491;&#30830;&#30340;&#22320;&#26041;&#19975;&#26395;&#25351;&#20986;&#65292;&#31069;&#22823;&#23478;2004&#22810;&#22810;&#21457;&#36130;&#65281;

lovehacker