渗透测试-Tomcat(CVE-2020-1938)漏洞复现

漏洞介绍

Java 是目前 Web 开发中最主流的编程语言，而 Tomcat 是当前最流行的 Java 中间件服务器之一，从初版发布到现在已经有二十多年历史，在世界范围内广泛使用。

2020年2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat 文件包含漏洞（CNVD-2020-10487 / CVE-2020-1938）。该漏洞的危害等级：高。目前厂商已发布新版本完成漏洞的修复。

漏洞简介

CVE-2020-1938 漏洞是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞。Tomcat 服务器作一个免费的开放源代码的Web 应用服务器，其安装后会默认开启ajp连接器，方便与其他web服务器通过ajp协议进行交互。

但由于 Tomcat AJP 协议设计上存在缺陷，攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件，例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。

该漏洞详细的原理分析可参见：【WEB安全】Tomcat-Ajp协议漏洞分析。

受影响版本

• Apache Tomcat 6
• Apache Tomcat 7 < 7.0.100
• Apache Tomcat 8 < 8.5.51
• Apache Tomcat 9 < 9.0.31

不受影响版本

• Apache Tomcat = 7.0.100
• Apache Tomcat = 8.5.51
• Apache Tomcat = 9.0.31

因为本次漏洞影响范围比较大，所以这个漏洞在发布的初期，各大SRC漏洞平台上都刷疯了。在渗透测试过程中，如果发现目标网站的 Tomcat 版本号在受影响的版本范围内，可对其进行漏洞的验证测试。

漏洞复现

看网上好多博主复现该漏洞的方式是：虚拟机直接下载 Tomcat 存在漏洞的版本（如Tomcat-8.5.32）的 Docker 镜像，直接运行后便可执行 POC 脚本进行攻击，但我在复现的时候发现运行容器启动 Tomcat 服务后，8009 端口并未如博主们所述的那样处于开放状态（具体原因不详，知情大佬请留言赐教……），无法成功进行攻击。

但我发现在最新下载的 Vulhub 漏洞环境中发现已经集成了该漏洞（只是 Vulhub 官网的复现文档尚未同步），故下文基于 Vulhub 漏洞环境进行漏洞复现。
实验环境：

主机	作用	IP地址
Ubuntu 虚拟机	基于 Vulhub 漏洞环境搭建 Tomcat-9.0.30 靶场	172.31.1.135
Kali Liunx 虚拟机	使用 Nmap、POC脚本对靶机实施探测、攻击	172.31.3.198

1、在 Ubuntu 虚拟机对应的漏洞环境路径下开启终端，执行如下命令运行靶场环境：

2、可以看到 Vulub 为我们自动搭建并启动了基于 Tomcat-9.0.30 的靶场环境：

3、局域网内的 Kali 虚拟机可成功进行访问：

4、使用 Nmap 对靶机进行端口扫描，查看8009端口是否处于开放状态：

5、在 Kali 中从 Github 克隆 POC 脚本 到本地：
6、尝试读取靶机上 Tomcat 服务器的/usr/local/tomcat/webapps/ROOT/WEB-INF文件：
7、返回 Ubuntu 虚拟机，进入 Docker 容器，查看相应的文件是否与 Kali 攻击机获取到的一致：

至此，我们已成功复现 CVE-2020-1938 漏洞，利用文件包含漏洞进阶获得 RCE 的攻击方式可参考文章：CVE-2020-1938 幽灵猫漏洞RCE 。

修复方案

1. 临时禁用AJP协议8009端口，在conf/server.xml配置文件中注释掉；
2. 配置ajp配置中的secretRequired跟secret属性来限制认证；
3. 官方下载最新版下载地址：
   https://tomcat.apache.org/download-70.cgi
   https://tomcat.apache.org/download-80.cgi
   https://tomcat.apache.org/download-90.cgi

或Github下载：https://github.com/apache/tomcat/releases。