Apache Tomcat任意文件读取漏洞和命令执行漏洞源码分析(CVE-2020-1938)

最新推荐文章于 2024-02-27 14:38:06 发布
置顶 最新推荐文章于 2024-02-27 14:38:06 发布
阅读量2.6k 收藏 5
点赞数 1
分类专栏: JAVA代码审计 文章标签: tomcat java 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SouthWind0/article/details/105147652
版权

Apache Tomcat任意文件读取漏洞和命令执行漏洞源码分析(CVE-2020-1938)

环境准备

在分析Apache Tomcat源码漏洞之前,我们先需要使用Idea配置Tomcat源码,请参考:https://blog.csdn.net/SouthWind0/article/details/105147406

漏洞分析

Tomcat在默认的conf/server.xml中配置了2个Connector,一个默认监听8080端口处理HTTP请求,另外一个默认监听8009端口处理AJP请求。

Tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRequest()方法将ajp里的内容取出,并设置成request对象的属性。既然如此,我们先在调用prepareRequest()方法的地方下一个断点。

跟进到Decode extra attributes这个位置,也就是获取解析属性和设置属性的地方。可以看到它循环获取数据后,又设置成request对象下面的三个Attribute属性,这意味着我们可以控制这三个属性。

javax.servlet.include.request_uri

javax.servlet.include.path_info

javax.servlet.include.servlet_path

继续跟进,可以看到封装成了对应的request之后,它将要接着走servlet的映射。

通过走不同的映射,产生了两种类型的漏洞,如下所示。关于映射请参考,Tomcat的DefaultServlet和JspServlet一文,地址:

https://blog.csdn.net/SouthWind0/article/details/105147262。

(1)任意文件读取

AJP请求:

forwardrequest 2 "HTTP/1.1" "/123.png" 127.0.0.1 127.0.0.1 porto 8009 false "Cookie:AAAA=BBBB","Accept-Encoding:identity" "javax.servlet.include.request_uri:/","javax.servlet.include.path_info:log/test.jsp","javax.servlet.include.servlet_path:/"

我们发送上面的AJP请求,因为/123.png将走DefaultServlet,关键请求参数如下:

RequestUri:/123.png

javax.servlet.include.request_uri: /

javax.servlet.include.path_info: log/test.jsp

javax.servlet.include.servlet_path: /

Debug源码如下:

接着调用容器来处理

在HttpServlet中调用doGet()方法

跟进,来到了org.apache.catalina.servlets.DefaultServlet的doGet()方法中,doGet()方法又调用serveResource()方法进行资源读取操作。

跟进到serveResource()方法中,可以看到它使用getRelativePath()方法来获取资源的相对路径。

既然到了门口,我们去看看getRelativePath()方法,可以看到,由于我们的AJP请求设置javax.servlet.include.request_uri属性值为/不为null,那么资源的相对路径构造如下:

= javax.servlet.include.path_info + javax.servlet.include.path_info

= / + log/test.jsp

= /log/test.jsp

返回来,我们已经通过getRelativePath()方法获取资源的相对路径,那么接着就需要读取资源了。接着往下走,可以看到通过getResources()方法就可以获取到对应路径的资源了。

值得一提的是,跟进这个方法,可以发现有趣的事情,如果路径存在./或../则会返回null,这样就解释了为什么我们无法跳出webapps目录来读取文件了。

继续往下走,最后资源对象的内容随着resourceBody被写入了ostream流对象中返回给客户端。

成功读取文件内容,我们请求的是/123.png,返回的是/log/test.jsp的内容。

(2)任意文件包含(代码执行)

AJP请求:

forwardrequest 2 "HTTP/1.1" "/123.jsp" 127.0.0.1 127.0.0.1 porto 8009 false "Cookie:AAAA=BBBB","Accept-Encoding:identity" "javax.servlet.include.request_uri:/","javax.servlet.include.path_info:log/test.txt","javax.servlet.include.servlet_path:/"

我们发送上面的AJP请求,因为/123.jsp将走JspServlet,关键请求参数如下:

RequestUri:/123.jsp

javax.servlet.include.request_uri: /

javax.servlet.include.path_info: log/test.txt

javax.servlet.include.servlet_path: /

Debug源码如下:

接着调用容器来处理

在HttpServlet中调用service()方法

跟进,接着来到了org.apache.jasper.servlet.JspServlet的service()方法中,jspUri为jsp文件的相对路径,之后jspUri被传入serviceJspFile()方法。

跟进serviceJspFile()方法,可以看到我们可以控制的jspUri被封装成了一个JspServletWrapper,并添加到了Jsp运行上下文JspRuntimeContext中,最后wrapper.service()会编译执行test.txt。这样导致了test.txt被当作jsp文件编译执行,代码执行漏洞产生。

成功执行恶意代码,我们访问的是/123.jsp,返回的是把/log/test.txt当作jsp文件执行后的内容。

test.txt的文件内容:

注意

需要注意的是RequestUri:/,此时会走JspServlet;而RequestUri:/123,此时会走DefaultServlet。

 

午夜安全
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞分析
weixin_39918928的博客
11-29 634
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞概述2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布关于Apache Tomcat的安全公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可...
CVE-2020-1938 Vulhub复现之Tomcat文件包含漏洞复现
最新发布
m0_70489261的博客
02-27 450
CVE-2020-1938、CNVD-2020-10487 漏洞描述:Apache Tomcat文件包含漏洞是由Tomcat AJP协议存在缺陷而导致,可利用该漏洞通过构造特定参数进行文件包含操作,进而读取受影响Tomcat服务器上的Web应用目录下的任意文件,如配置文件或源代码等。
Tomcat9 AJP 任意文件读取文件包含漏洞CVE-2020-1938
weixin_42786460的博客
09-25 1358
Tomcat9 AJP 任意文件读取文件包含漏洞CVE-2020-1938
实习笔记—Apache Tomcat任意文件读取漏洞
JSH_CDX的博客
07-02 946
一. 前言 实习的第一个任务便是验证漏洞,用了两天时间才验证完毕,刚开始的思路是对的,只不过一开始验证不成功,没有坚持下去,后面走老路用新的方法才测试成功。 二.测试思路 对于这个新披露的漏洞,msf上一般不会存在对应的EXP,这时候可以先查看受该漏洞影响的Tomcat版本以及修复建议,再查看待测试主机的Tomcat版本以及配置信息。 三.漏洞描述 Apache Tomcat 是一个免费的开源 W...
漏洞复现】Apache Tomcat AJP文件包含漏洞(CVE-2020-1938)
晚风不及你
01-12 624
Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。
Tomcat- AJP协议文件读取/命令执行漏洞CVE-2020-1938 / CNVD-2020-10487)
好好睡觉
02-17 3487
tomcat漏洞、幽灵猫漏洞apache反向代理tomcat
Tomcat文件读取&文件包含漏洞CVE-2020-1938
黑白的博客
06-20 3816
好好学习,天天向上。
解决Apache Tomcat版本泄露,Apache-Coyote/1.1自定义
顺其自然~专栏
09-13 4253
同时,为了能让我们编写的 servlet 能够得到ServletRequest,tomcat 使用了 facade 模式,将比较底层、低级的 Request 包装成为 ServletRequest(这一过程通常发生在Wrapper容器一级),这也是为很多人津津乐道的 tomcat 对设计模式的一个巧妙的运用,具体过程将会在以后讨论。coyote本质上是为tomcat的容器提供了对底层socket连接数据的封装,以Request类的形式,让容器能够访问到底层的数据。coyote 是 tomcat 的。
Tomcat 幽灵猫任意文件读取漏洞(CVE-2020-1938)
Li-D的博客
09-16 3314
漏洞描述 Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器。Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件漏洞影响版本 Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31 漏洞危害 攻击者可利用该漏洞进行任意
Tomcat任意文件读取 文件包含漏洞复现(CVE-2020-1938/CNVD-2020-10487)
jiji_king的博客
07-09 2078
个人笔记
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938
03-05
压缩包中含有详细的文档说明、操作指南以及所需要的附件。本作者亲自验证有效。如果有问题,请联系作者QQ。
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)...
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜观星河
04-22 4302
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
Java的commons-collections反序列化漏洞
午夜观星河
04-29 2767
Java的commons-collections反序列化漏洞 开始正文之前,我们的口号是:代码很有趣,安全很重要。 1.漏洞描述 在Java开发中,我们经常会使用到commons-collections这个jar包,当它的版本小于或等于3.2.1时,存在反序列化和远程代码执行漏洞。 2.漏洞详情 TransformedMap这个类的decorate函数可以将一个普通的Map转换为一个T...
S2-001漏洞分析
午夜观星河
08-09 898
S2-001漏洞分析 1.漏洞描述 该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 2.影响版本 Struts 2.0...
Apache Tomcat文件包含漏洞(CVE-2020-1938)
09-11
对于Apache Tomcat文件包含漏洞(CVE-2020-1938),该漏洞是在2020年2月份公开的,影响Tomcat 9.0.0.M1至9.0.30以及8.5.0至8.5.50版本。该漏洞允许攻击者通过发送特制的请求来执行任意文件读取和包含。 该漏洞的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

午夜安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值