【漏洞复现】Tomcat文件包含漏洞的搭建与复现:CVE-2020-1938
- 2020 年 2 月 25 日
- 筆記
点击上方“公众号” 可以订阅哦!
Hello,各位小伙伴大家好~
今天打开手机就被Tomcat的这个漏洞刷屏了
估计昨晚很多大佬都在通宵刷SRC吧…
让我们一起来复现一下这个漏洞吧~
Part.1
漏洞说明
漏洞描述
2月14日,Apache Tomcat官方发布了一个安全更新版本,用于修复Tomcat中存在的一个利用AJP协议的漏洞。利用该漏洞,攻击者可以通过发送恶意的AJP请求,在未授权的情况下读取或者包含webapp目录下的任意文件。
2月20日,国家信息安全漏洞共享平台(CNVD)发布安全公告,将该漏洞综合评级为高危,当前网上已可以找到该漏洞的利用POC。
涉及版本
Apache Tomcat6
Apache Tomcat7 < 7.0.100
Apache Tomcat8 < 8.5.51
Apache Tomcat9 < 9.0.31
Part.2
环境搭建
JDK安装
以Tomcat 8.0版本为例,需要安装JDK1.7及以上版本。公众号回复1938可进行下载。
Tomcat 8.0.39
Tomcat8.0.39可在公众号回复1938可进行下载。也可访问官网自行下载:
http://tomcat.apache.org/download-80.cgi
选择对应的版本:
点击后进入bin命令下载我们需要的版本:
下载完成后解压即可:
环境变量
配置环境变量:
新建系统变量CATALINA_HOME,变量值为tomcat路径:
配置环境系统变量Path,添加变量值:%CATALINA_HOME%lib;
打开bin目录下的startup即可启动:
启动后访问目标8080端口:
搭建成功~
Part.3
漏洞复现
漏洞复现
本次漏洞利用的是AJP协议,该协议工作在8009端口,查看本机已开启:
GitHub上已经有很多可利用的POC,也可在公众号回复1938可进行下载。
现在利用该漏洞去读取WEB-INF/web.xml文件:
该POC读取目录为ROOT,其他不行:
Part.4
修复建议
漏洞修复
目前,Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,CNVD建议用户尽快升级新版本或采取临时缓解措施:
1. 如未使用Tomcat AJP协议:
如未使用Tomcat AJP 协议,可以直接将 Tomcat 升级到9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。
如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。
具体操作:
(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):
<Connectorport="8009"protocol="AJP/1.3" redirectPort="8443"/>
(2)将此行注释掉(也可删掉该行):
<!--<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443" />-->
(3)保存后需重新启动,规则方可生效。
2、如果使用了Tomcat AJP协议
建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。
例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"secret="YOUR_TOMCAT_AJP_SECRET"/>
如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET"/>
Part.5
结语
好啦,这就是今天的全部内容了。
欢迎到公众号:一名白帽的成长史提问&留言~
