实习笔记—Apache Tomcat的任意文件读取漏洞

一. 前言

实习的第一个任务便是验证漏洞，用了两天时间才验证完毕，刚开始的思路是对的，只不过一开始验证不成功，没有坚持下去，后面走老路用新的方法才测试成功。

二.测试思路

对于这个新披露的漏洞，msf上一般不会存在对应的EXP，这时候可以先查看受该漏洞影响的Tomcat版本以及修复建议，再查看待测试主机的Tomcat版本以及配置信息。

三.漏洞描述

Apache Tomcat 是一个免费的开源 Web 应用服务器，在中小型企业和个人开发用户中有着广泛的应用。
由于 Tomcat 默认开启的 AJP 服务（8009端口）存在一处文件包含缺陷，攻击者可利用该漏洞读取或包含Tomcat上所有 webapp目录下的任意文件，如：webapp 配置文件或源代码等。

四.测试过程

4.1 基础信息探测

通过Google搜索漏洞详细信息，发现Apache Tomcat版本在以下范围：Apache Tomcat 6，Apache Tomcat 7 < 7.0.100，Apache Tomcat 8 < 8.5.51，Apache Tomcat 9 < 9.0.31，且没有关闭 AJP 服务时，存在Apache Tomcat 服务器任意文件读取漏洞。

4.2 漏洞验证

通过在/apache-tomcat-9.0.20/webapps/ROOT目录下创建test.txt测试文档，在kali上成功利用EXP读取text.txt文档。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200427231
通过ssh登录到主机上查看Apache Tomcat的版本信息，以及在conf/server.xml文件里的配置信息。


发现Apache Tomcat版本为9.0.20.0，且没有注释掉在conf/server.xml文件里的

< Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

安全建议

1． Apache官方已发布9.0.31、8.5.51及7.0.100版本针对此漏洞进行修复，Apache Tomcat 6 已经停止维护，请升级到最新受支持的 Tomcat 版本以免遭受漏洞影响：

版本号：Apache Tomcat 7.0.100  下载地址：http://tomcat.apache.org/download-70.cgi
版本号：Apache Tomcat 8.5.51   下载地址：http://tomcat.apache.org/download-80.cgi
版本号：Apache Tomcat 9.0.31   下载地址：http://tomcat.apache.org/download-90.cgi

2． 使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009" protocol=“AJP/1.3” redirectPort="8443" address=“YOUR_TOMCAT_IP_ADDRESS” secret=“YOUR_TOMCAT_AJP_SECRET”/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009" protocol=“AJP/1.3” redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret=“YOUR_TOMCAT_AJP_SECRET” />

3． 未使用AJP协议的临时处置方法：禁用AJP协议端口，在conf/server.xml配置文件中注释，并重启Tomcat服务，注释语句：

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

希望接下来的实习能好好度过，导师别太刁难我哈哈哈