【vulhub】Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

0x00简介

Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。

Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

0x01 漏洞概述

日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。

2月14日,Apache Tomcat 官方发布安全更新版本,修复漏洞。2月20日,国家信息安全漏洞共享平台(CNVD)发布安全公告,该漏洞综合评级为高危,漏洞编号为CNVD-2020-10487,CVE 编号 CVE-2020-1938。

漏洞影响范围包括

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

漏洞环境

启动环境

docker-compose up -d

【vulhub】Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)_第1张图片

0x03 漏洞利用

该漏洞从昨天爆出之后,在众多平台上已经有了验证代码,如下

https://github.com/0nise/CVE-2020-1938
https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC
https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/

使用其中任意一个POC文件进行验证,读取WEB-INF/web.xml文件

python CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.100.23 -p 8009 -f WEB-INF/web.xml

【vulhub】Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)_第2张图片
参考文章
https://cloud.tencent.com/developer/article/1590029
http://blog.nsfocus.net/cve-2020-1938/
https://github.com/vulhub/vulhub/blob/master/tomcat/CVE-2020-1938/README.zh-cn.md

你可能感兴趣的:(vulhub,tomcat)