CVE-2021-34429：Jetty WEB-INF文件读取复现

作者：Menge@Timeline Sec

本文字数：907

阅读时长：2～3min

声明：仅供学习参考使用，请勿用作违法用途，否则后果自负

0x01 简介

Jetty是一个开源的servlet容器，它为基于Java的web容器，例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的，它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象，可以迅速为一些独立运行（stand-alone）的Java应用提供网络和web连接。

0x02 漏洞概述

编号：CVE-2021-34429

可以使用一些编码字符来制作URI，以访问WEB-INF目录的内容和/或绕过一些安全限制。默认合规模式允许带有包含 %u002e 段的 URI 的请求访问WEB-INF目录中的受保护资源。

例如，/%u002e/WEB-INF/web.xml可以检索 web.xml 文件的请求。这可能会泄露有关 Web 应用程序实现的敏感信息。同样，编码的空字符可能会阻止正确的规范化，因此/.%00/WEB-INF/web.xml也会检索 web.xml 文件。此漏洞是CVE-2021-28164和CVE-2021-28169的新的绕过方式。

0x03 影响版本

9.4.37 ≤ Eclipse Jetty ≤ 9.4.42

10.0.1 ≤ Eclipse Jetty ≤ 10.0.5

11.0.1 ≤ Eclipse Jetty ≤ 11.0.5

0x04 环境搭建

可以直接用vulhub项目直接搭建jetty9.4.40的环境，也可以自行搭建

项目地址 (版本是jetty9.4.40)

https://github.com/vulhub/vulhub/blob/master/jetty/CVE-2021-28164/

docker启动

cd /vulhub/jetty/CVE-2021-28164
docker-compose up -d

然后访问http://your-ip:8080

出现以下界面，搭建成功!

0x05 漏洞复现

使用curl -I http://ip:port

可以看到Jetty版本

或是直接访问一个不存在的页面

使用Burpsuite发送GET请求/%u002e/WEB-INF/web.xml即可读取到web.xml文件

0x06 修复方式

1.使用补丁版本，如9.4.43, 10.0.6, 11.0.6

2.官网建议，可以部署一些 Jetty重写规则，将原始请求 URI 中包含编码点段或空字符的任何请求重写为已知未找到的资源（https://github.com/eclipse/jetty.project/security/advisories/GHSA-vjv5-gp2w-65vm）

<Call name="addRule">
  <Arg>
    <New class="org.eclipse.jetty.rewrite.handler.RewriteRegexRule">
      <Set name="regex">.*/(?:\.+/)+.*</Set>
      <Set name="replacement">/WEB-INF/Not-Found</Set>
    </New>
  </Arg>
</Call>
<Call name="addRule">
  <Arg>
    <New class="org.eclipse.jetty.rewrite.handler.ValidUrlRule"/>
  </Arg>
</Call>

参考链接：

https://github.com/eclipse/jetty.project/security/advisories/GHSA-vjv5-gp2w-65vm

https://mp.weixin.qq.com/s/GUsPetS256WEL90PaSNKYA