漏洞分析|一篇文章教你搞懂ajp文件包含

作者:掌控安全学院核心成员-holic

0x01. 前言

时隔应该快一年了吧,具体ghost这个漏洞出来我也忘记了,由于我最近无聊,然后想起我使用的tomcat有没有漏洞,

于是我就来试了试,顺便分析一下这段已经时隔许久的漏洞,依稀记得上次的文章是简单的复现~~ 反正是闲的无聊
在这里插入图片描述

0x02. 环境部署

idea2020.2 + tomcat7.0.99+jdk1.8

具体参考下面的文章,idea导入Tomcat源码:
环境与exp打包好,在附件中~

公众号(掌控安全EDU)后台回复:附件**”即可

https://blog.csdn.net/u013268035/article/details/81349341

https://www.cnblogs.com/r00tuser/p/12343153.html

0x03.漏洞的基础

Tomcat部署的时候会有两个重要的文件
在这里插入图片描述
在这里插入图片描述

而Tomcat在 server.xml中配置了两种连接器。

其中包含的是AJP Connector和HTTP Connector

AJP Connector说明启用了8080和8009端口,这时候我们可以看一下

在这里插入图片描述

而相对于,8080我们是可以访问的

在这里插入图片描述

也就是说,8080是负责Http协议,8009负责接收ajp协议;

提问1:AJP协议和HTTP协议有什么区别吗?

HTTP协议:负责接收建立HTTP数据包,成为一个web服务器,处理HTTP协议的同时还额外可处理Servlet和jsp

AJP协议: 负责和其他的HTTP服务器建立连接, 通过AJP协议和另一个web容器进行交互

Web用户访问Tomcat服务器的两种方式

在这里插入图片描述

而一个Tomcat就是一个server,其中包含多个service;

而每个service由Connector、Container、Jsp引擎、日志等组件构成,造成漏洞的关键地方是Connector、Container

Connector上面已经说过分别是AJP Connector和HTTP Connector ,是用来接受客户端的请求,请求中的数据包在被Connector解析后就会由Container处理。这个过程大致如下图:
在这里插入图片描述

一次请求的处理可以划分为Connector及Container进行处理,经历的过程大致如下:

一个TCP/IP数据包发送到目标服务器,被监听此端口的Tomcat获取到。

处理这个Socket网络连接,使用Processor解析及包装成request和response对象,并传递给下一步处理。

Engine来处理接下来的动作,匹配虚拟主机Host、上下文Context、Mapping Table中的servlet。

Servlet调用相应的方法(service/doGet/doPost…)进行处理,并将结果逐级返回。

小结

对于使用HTTP协议或AJP协议进行访问的请求来讲,在解析包装成为request和response对象之后的流程都是一样的

主要的区别就是对 socket流量的处理以及使用Processor进行解析的过程的不同

图片

也就是第二步的地方出现问题

0x04.源码分析

通过第三步中,我们知道是Processor的解析过程不同,而提供这部分功能的接口,在 org.apache.coyote.Processor,主要负责请求的预处理。
图片

而此处AjpProcessor则是处理ajp协议的请求,并通过它将请求转发给Adapter,针对不用的协议则具有不同的实现类。

我们从上面wirshark抓包可以看出在这里插入图片描述

可以看出这边是设置了三个莫名其妙的东西在这里插入图片描述

通过exp源码可以看到这边是设置了三个域对象的值在这里插入图片描述

在这里插入图片描述

可以看出,我们这边是执行成功了,由于wirshark抓包没有去截图,又关闭了,所以就不截图了

这边可以假设:请求参数时是写死,也就是xxx.jsp文件,而jsp后缀等等原因,然后成功进行了文件包含

那么我们的test.txt是怎么识别的?

我们继续往下看,来解决种种疑惑在这里插入图片描述

知道是这个prepareRequest()问题,我们f7跟进去看看在这里插入图片描述

进入了该方法的内部,我们继续跟进查看,这边进行判断,获取到了请求参数为GET在这里插入图片描述

首先是一些解析数据包读取字节的操作在这里插入图片描述

while循环获取,switch判断
在这里插入图片描述
在这里插入图片描述

当attributeCode=10时,则进入第一条分支,继续f8进去
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

是不是有了有种眼熟的感觉~~~ 其实就是往域对象中存值

在这里插入图片描述

由于if都不满足,直接进入了最后这个比进的else分支
在这里插入图片描述

最后进入第二个步骤的最后一小步,f8继续下一步走,在预处理完了request headers之后,在adapter里面处理request,然后调用Adapter将请求交给Container处理

在这里插入图片描述

在这里插入图片描述

进入service方法,然后f8一直跟进

在这里插入图片描述

直到跟进此处,请求会发送到对应的servlet,我们请求的是一个jsp文件,根据tomcat的默认web.xml文件
在这里插入图片描述

通过上面假设,tomcat默认将jsp/jspx结尾的请求交给org.apache.jasper.servlet.JspServlet处理,它的service()方法如下:
在这里插入图片描述

而jspUri等于null,满足条件,则进入该if条件分支
图片

由于javax.servlet.include.servlet_path可控制,通过getAttribute去域对象中获取属性名为javax.servlet.include.servlet_path的值,得到值为 test.txt

图片

此时,jspUri的值为/test.txt
图片

pathInfo的值此时为空

图片

最后一直到下面,传入serviceJspFile方法中

图片

继续跟进,会先判断文件是否存在,如果存在,随后才会初始化wrapper,最后调用JspServletWrapper的service方法来解析,从而导致本地文件包含
图片

环境与exp打包好,公众号(掌控安全EDU)后台回复:附件”即可

参考

https://gitee.com/wdragondragon/javasec/blob/master/tomcat%20ajp%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90.md

https://www.cnblogs.com/r00tuser/p/12343153.html

https://xz.aliyun.com/t/7325#toc-6

https://zhishihezi.net/b/5d644b6f81cbc9e40460fe7eea3c7925#

黑客渗透视频教程,扫码免费领

在这里插入图片描述

已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: 数字20 设计师:CSDN官方博客 返回首页