TomcatAJP檔案包含漏洞及線上修復漏洞

men發表於2020-09-12

漏洞概述

2020年2月20日，國家資訊保安漏洞共享平臺（CNVD）釋出關於Apache Tomcat的安全公告，Apache Tomcat檔案包含漏洞（CNVD-2020-10487，對應CVE-2020-1938）。

Tomcat AJP協議由於存在實現缺陷導致相關引數可控，攻擊者利用該漏洞可通過構造特定引數，讀取伺服器webapp下的任意檔案。若伺服器端同時存在檔案上傳功能，攻擊者可進一步實現遠端程式碼的執行。

由於Tomcat在處理AJP請求時,未對請求做任何驗證,通過設定AJP聯結器封裝的request物件的屬性, 導致產生任意檔案讀取漏洞和程式碼執行漏洞

CVE-2020-1938 又名GhostCat，之前引起了一場風雨，由e長亭科技安全研究員發現的存在於Tomcat中的安全漏洞，由於Tomcat AJP協議設計上存在缺陷，攻擊者通過 Tomcat AJP Connector 可以讀取或包含 Tomcat 上所有 webapp 目錄下的任意檔案，例如可以讀取 webapp 配置檔案或原始碼。此外在目標應用有檔案上傳功能的情況下，配合檔案包含的利用還可以達到遠端程式碼執行的危害。

影響範圍

Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x

本次漏洞與三個include屬性有關

javax.servlet.include.request_uri
javax.servlet.include.path_info
javax.servlet.include.servlet_path

任意檔案讀取

任意檔案讀取問題出現在org.apache.catalina.servlets.DefaultServlet這個Servlet

構造一個AJP請求，請求會走預設的DefaultServlet並交給DefaultServlet的doGet方法處理。
doGet會呼叫ServeResource方法獲取資原始檔，呼叫getRelativePath方法獲取要讀取資源的相對路徑，通過getResources方法就可以獲取到了對應路徑的Web資源物件。
然後再通過控制ajp控制的上述三個include屬性來讀取檔案,通過操控上述三個屬性從而可以讀取到/WEB-INF下面的所有敏感檔案，不限於class、xml、jar等檔案。

任意程式碼執行

任意程式碼執行問題出現在org.apache.jasper.servlet.JspServlet這個servlet。

構造一個如下的AJP請求,讓Tomcat執行/docs/test.jsp，但實際上它會將code.txt當成jsp來解析執行。

RequestUri：/docs/test.jsp
javax.servlet.include.request_uri: /
javax.servlet.include.path_info: code.txt
javax.servlet.include.servlet_path: /

code.txt內容如下

<%
	java.util.List<String> commands = new java.util.ArrayList<String>();
	commands.add("/bin/bash");
	commands.add("-c");
	commands.add("/Applications/Calculator.app/Contents/MacOS/Calculator");
	java.lang.ProcessBuilder pb = new java.lang.ProcessBuilder(commands);
	pb.start();
%>

傳送AJP請求，請求的是/docs/test.jsp這個jsp,但是由於那三個include屬性可控,可以將test.jsp對應的伺服器指令碼檔案改為code.txt,導致tomcat把我們的code.txt當jsp檔案編譯執行，導致程式碼執行。

TomcatAJP Connector以及AJP協議

Tomcat Connector 是 Tomcat 與外部連線的通道，它使得 Catalina 能夠接收來自外部的請求，傳遞給對應的 Web 應用程式處理，並返回請求的響應結果。

預設情況下，Tomcat 配置了兩個 Connector，它們分別是 HTTP Connector 和 AJP Connector:

// HTTP Connector：用於處理 HTTP 協議的請求（HTTP/1.1），預設監聽地址為 0.0.0.0:8080

// AJP Connector：用於處理 AJP 協議的請求（AJP/1.3），預設監聽地址為 0.0.0.0:8009

HTTP Connector 就是用來提供我們經常用到的 HTTP Web 服務。而 AJP Connector，它使用的是 AJP 協議（Apache Jserv Protocol），AJP 協議可以理解為 HTTP 協議的二進位制效能優化版本，它能降低 HTTP 請求的處理成本，因此主要在需要叢集、反向代理的場景被使用。

AJP是Apache Tomcat web伺服器用來與servlet容器通訊的一個二進位制協議。主要用於叢集或逆向代理場景，其中web伺服器與應用伺服器或servelet容器進行通訊。

簡單來說，就是HTTP Connector暴露給客戶端了，AJP是webserver (如Apache HTTPD)和Apache Tomcat伺服器之間內部使用的，如下圖所示。AJP在Apache HTTP伺服器中是以模組的形式實現的，表示為mod_jk或mod_proxy_ajp。AJP本身並不會暴露到外部，這也是下一部分要討論的RCE場景的先決條件之一。

漏洞修復

升級版本

將Tomcat立即升級到9.0.31,8.5.51或7.0.100版本進行修復

升級步驟

1.下載要升級的Tomcat版本

wget https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.51/bin/apache-tomcat-8.5.51.tar.gz

2. 停止舊版本tomcat

cd /home/…/tomcat_8/bin
./shutdown.sh

# 建立新的tomcat路徑,備份舊的tomcat服務
mkdir /home/…/tomcat_8_old
cp -Rf /home/…/tomcat_8/* /home/…/tomcat_8_old/

# 安裝目錄下解壓新的tomcat
tar -zxvf apache-tomcat-8.5.51.tar.gz

# 刪除舊的服務檔案,將新的服務名稱改成之前的
rm -rf tomcat_8
mv apache-tomcat-8.5.51 tomcat_8

# 用備份的server.xml替換新的server.xml
cd /home/…/tomcat_8/conf/
cp /home/…/tomcat_8_old/conf/server.xml ./

# 用備份的webapps替換新的webapps
cd /home/…/tomcat_8/
cp /home/…/tomcat_8_old/webapps ./

# 用備份的catalina.sh替換新的
cd /home/…/tomcat_8/bin/
cp /home/…/tomcat_8_old/bin/catalina. sh ./


# 我這裡的備份路徑下有一些日誌資訊也一併移過來
mv /home/…/tomcat_8_old/logs/* /home/…/tomcat_8/logs/


# 啟動tomcat
cd /home/…/tomcat_8/bin
./startup.sh

隱藏版本

可以的話做一下隱藏版本資訊

cd cd apache-tomcat-8.5.51/lib
unzip catalina.jar
vim ServerInfo.properties 
# 自定義修改 server.number和server.built的配置  
server.info=Apache Tomcat
server.number=sb
server.built=sb


cd  /opt/apache-tomcat-8.5.51/lib
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

# 重啟服務即可

tomcat在8.5.51版本做了如下修復

// 預設不開啟AJP
// 預設只監聽本地ip
// 強制設定認證secret
// 程式碼層面主要在AjpProcessor類的prepareRequest方法封裝requst物件時採用了白名單，只新增已知屬性。這樣三個include屬性不再被客戶端控制，漏洞修復。

禁用AJP協議

編輯/conf/server.xml,找到如下行

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

將此行註釋掉(也可刪掉該行)

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

配置secret來設定AJP協議的認證憑證

例如(注意將您的tomcat_ajp_secret更改為一個安全性高,無法被輕易猜解的值)

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

突破上傳之檔案包含漏洞以及修復方案
2016-10-11
什麼是檔案包含漏洞?檔案包含漏洞分類!
2021-11-01
PHP檔案包含漏洞(利用phpinfo)復現
2020-04-24
PHP
檔案包含漏洞示例
2017-08-25
任意檔案上傳漏洞修復
2018-05-09
網站漏洞修復之Metinfo 檔案上傳漏洞
2019-07-12
網站
檔案包含漏洞小結
2022-03-07
[web安全] 檔案包含漏洞
2015-05-24
Web
檔案包含漏洞(本地包含配合檔案上傳)
2018-08-06
PHP漏洞全解————10、PHP檔案包含漏洞
2018-07-05
PHP
"白話"PHP檔案包含漏洞
2021-08-06
PHP
WordPress網站漏洞利用及漏洞修復解決方案
2019-02-24
網站
24：WEB漏洞-檔案上傳之WAF繞過及安全修復
2021-12-02
Web
Apache Tomcat檔案包含漏洞分析
2020-02-24
ApacheTomcat
檔案包含漏洞(繞過姿勢)
2018-06-23
檔案包含漏洞檢測工具fimap
2017-08-04
網站漏洞測試檔案上傳漏洞的安全滲透與修復
2019-09-20
網站
網站漏洞修復上傳webshell漏洞修補
2019-06-03
網站Webshell
【第九章】檔案包含漏洞
2020-07-26
怎麼修復網站漏洞騎士cms的漏洞修復方案
2019-01-03
網站
PrestaShop網站漏洞修復如何修復
2019-01-02
REST網站
phpStudy poc漏洞復現以及漏洞修復辦法
2019-09-27
PHP
phpcms的phpcms_auth導致的任意變數覆蓋漏洞、本地檔案包含漏洞和任意檔案下載漏洞
2017-11-10
PHP變數
PHP本地檔案包含漏洞環境搭建與利用
2020-08-19
PHP
struts2架構網站漏洞修復詳情與利用漏洞修復方案
2018-12-03
架構網站
如何修復AppScan漏洞
2014-10-29
APP
網站漏洞檢測對漏洞檢測修復方案
2018-12-14
網站
DVWA中學習PHP常見漏洞及修復方法
2020-08-19
PHP
專家建議網站漏洞要及時修復
2017-07-04
網站
什麼是檔案包含漏洞?會造成什麼危害？
2022-09-20
網站漏洞處理修復服務之lankecms篡改漏洞
2022-10-26
網站
網站存在漏洞怎麼修復如何修補網站程式程式碼漏洞
2019-07-09
網站
weblogic T3 漏洞修復
2020-08-14
Web
thinkcmf 網站最新漏洞修復方法
2019-11-20
網站
WordPress 5.1.1 釋出修復 CSRF 漏洞
2019-03-17
雲伺服器修復apache漏洞
2021-05-09
伺服器Apache
微信小程式漏洞怎麼修復
2022-02-11
微信小程式
程式碼注入漏洞以及修復方法
2016-10-12