#渗透测试#漏洞挖掘#红蓝攻防#漏洞挖掘#信息泄露漏洞-Apache Tomcat页面泄露漏洞

免责声明 本教程仅为合法的教学目的而准备，严禁用于任何形式的违法犯罪活动及其他商业行为，在使用本教程前，您应确保该行为符合当地的法律法规，继续阅读即表示您需自行承担所有操作的后果，如有异议，请立即停止本文章读。

目录

一、Apache Tomcat是什么

二、Tomcat存在的漏洞

三、Tomcat存在多个信息泄露漏洞

四、如何检测tomcat存信息泄露漏洞

1. 检查Tomcat版本

2. 查阅已知漏洞

3. 手动测试

4. 自动化扫描

5. 配置检查

6. 升级和补丁

五、Tomcat 存在信息泄露漏洞的危害

六、Tomcat信息泄露漏洞案例

1、CVE - 2021 - 43980信息泄露漏洞案例

2、CVE - 2016 - 8747信息泄露漏洞案例

七、Tomcat信息泄露漏洞修复方法

一、修复Tomcat example应用信息泄漏漏洞

二、Tomcat 漏洞修复建议

三、禁用Tomcat的AJP协议端口

四、升级Tomcat版本

---

一、Apache Tomcat是什么

Apache Tomcat 是一个开源的 Java Servlet 容器，由 Apache 软件基金会开发。它主要用于托管 Java Web 应用程序，提供一个轻量级、高性能的应用服务器环境。以下是关于 Apache Tomcat 的一些关键点：

1. 功能：
   • Tomcat 实现了对 Java Servlet 和 JavaServer Pages (JSP) 的支持。
   • 它可以解析和执行 Java Servlet 和 JSP 页面，并将结果以 HTML 页面的形式通过 HTTP 协议返回给客户端。
2. 架构：
   • Tomcat 是用 Java 实现的，使用 Java 的线程模型来处理请求。
   • 它的核心是一个 Servlet 容器，负责管理 Servlet 的生命周期、并发处理、请求分发等。
   • Tomcat 还具有 JSP 引擎，用于编译和执行 JSP 页面。
3. 独立性和集成性：
   • Tomcat 可以作为一个独立的服务器运行，支持 HTTP、HTTPS、WebSocket 等协议。
   • 它也可以与其他 Web 服务器（如 Apache HTTP Server）一起使用，形成 Apache + Tomcat 的 Web 服务器架构。在这种架构中，Apache 负责提供静态内容的传输，而 Tomcat 负责处理 Java Web 应用程序的动态内容。
4. 管理和部署：
   • Tomcat 提供了丰富的管理工具，如 web-based 管理界面、JMX 接口等，方便管理员监控和管理 Tomcat 服务器。
   • 它还提供了丰富的文档和社区支持，使开发者能够快速解决问题和获取帮助。
5. 平台支持：
   • Tomcat 支持多个平台，包括 Windows、Linux、MacOS 等。
6. 应用场景：
   • Tomcat 广泛应用于开发和部署 Java Web 应用，适用于各种规模的 Web 应用程序部署。
   • 它是 Java Web 开发的重要工具之一，特别适合用于开发、调试和部署基于 Java 的 Web 应用程序。

二、Tomcat存在的漏洞

Tomcat作为一款广泛使用的Web服务器和Servlet容器，在其历史上曾暴露出多个安全漏洞。以下是一些较为严重的Tomcat漏洞及其影响：

1. CVE-2014-0095 和 CVE-2014-0075：DoS（拒绝服务）漏洞
   • 描述：这两个漏洞允许攻击者通过发送特殊构造的请求导致Tomcat服务器资源耗尽，从而无法提供正常服务。
   • 影响版本：
     • CVE-2014-0095：Apache Tomcat 8.0.0-RC2 ~ 8.0.3
     • CVE-2014-0075：多个版本
2. CVE-2014-0096、CVE-2014-0097 和 CVE-2014-0119：信息泄露漏洞
   • 描述：这些漏洞允许攻击者通过特定请求获取敏感信息，如目录列表、配置文件内容等。
   • 影响版本：多个版本
3. CVE-2017-12615：远程代码执行漏洞
   • 描述：此漏洞允许攻击者在Tomcat服务器上执行任意代码，可能导致服务器完全被攻陷。
   • 影响版本：特定版本
4. CVE-2020-1938（Ghostcat）：文件包含漏洞
   • 描述：此漏洞允许攻击者通过AJP协议读取或包含Tomcat服务器上的任意文件，可能导致敏感信息泄露或进一步的攻击。
   • 影响版本：多个版本
5. CVE-2022-42252：HTTP请求走私漏洞
   • 描述：此漏洞允许攻击者在关闭rejectIllegalHeader的情况下，通过构造恶意HTTP Header进行钓鱼攻击或其他恶意操作。
   • 影响版本：特定版本
6. 信息泄露漏洞（多个CVE编号）
   • 描述：这些漏洞允许攻击者通过特定请求获取敏感信息，如会话ID、响应体内容等。
   • 影响版本：多个版本

三、Tomcat存在多个信息泄露漏洞

1. CVE-2024-21733
   • 影响范围: Apache Tomcat 9.0.0-M11至9.0.43，8.5.7至8.5.63
   • 漏洞详情: 由于Coyote组件在处理不完整的POST请求时没有重置缓冲区位置和限制，可能导致威胁者获取其他用户先前请求的数据。
   • 修复建议: 升级到Apache Tomcat 9.0.44或8.5.64。
2. CVE-2021-43980
   • 影响范围: Apache Tomcat 10.1.0-M14及以上，10.0.20及以上
   • 漏洞详情: 由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误，可能使客户端连接共享一个Http11Processor实例，导致响应或部分响应被错误的客户端接收，造成信息泄露。
   • 修复建议: 升级到受影响版本的最新版本。
3. CVE-2023-28708
   • 影响范围: Apache Tomcat 11.0.0-M1至11.0.0-M2，10.1.0-M1至10.1.5，9.0.0-M1至9.0.71，8.5.0至8.5.85
   • 漏洞详情: 当使用RemoteIpFilter和HTTP反向代理一起使用时，如果请求中包含设置为https的X-Forwarded-Proto标头，则Tomcat所创建的会话cookie未包括secure属性，可能导致用户代理通过不安全的通道传输会话cookie，造成敏感信息泄露。
   • 修复建议: 升级到Apache Tomcat 9.0.72或10.1.6及以上版本。
4. CVE-2023-41081
   • 影响范围: Apache Tomcat连接器mod_jk版本1.2.0至1.2.48
   • 漏洞详情: 在某些情况下，mod_jk将使用隐式映射并将请求映射到第一个定义的Worker（工作进程/线程）。这种隐式映射可能会导致意外暴露状态Worker或绕过httpd中配置的安全约束。
   • 修复建议: 升级到mod_jk的最新版本。

四、如何检测tomcat存信息泄露漏洞

要检测Apache Tomcat是否存在信息泄露漏洞，可以按照以下步骤进行：

1. 检查Tomcat版本

首先，你需要知道你正在使用的Tomcat版本。你可以在TOMCAT_HOME/RELEASE-NOTES文件中找到版本信息，或者在启动Tomcat时查看控制台输出。

2. 查阅已知漏洞

访问Apache Tomcat的官方网站或CVE（Common Vulnerabilities and Exposures）数据库，查找你使用的Tomcat版本是否存在已知的信息泄露漏洞。例如，CVE-2020-1938就是一个著名的Tomcat文件包含漏洞。

3. 手动测试

你可以手动测试Tomcat是否泄露了敏感信息。以下是一些常见的测试方法：

• 访问未授权的管理界面：尝试访问Tomcat的管理界面（通常是http://<your-server>:8080/manager/html）。如果你能够访问并且不需要身份验证，这可能是一个信息泄露漏洞。
• 检查错误页面：触发一个404错误页面，看看是否泄露了Tomcat的版本信息。例如，访问一个不存在的URL，如http://<your-server>:8080/nonexistent。
• 测试文件包含漏洞：尝试利用已知的文件包含漏洞。例如，访问http://<your-server>:8080/manager/html?file=../../../../etc/passwd，看看是否能够读取到系统的敏感文件。

4. 自动化扫描

使用自动化工具来扫描Tomcat服务器是否存在信息泄露漏洞。以下是一些常用的工具：

• Nmap：使用Nmap的脚本来扫描Tomcat服务器。例如：

nmap -sV -p 8080 <your-server>

• 这将扫描8080端口并尝试识别Tomcat的版本和服务。

• Apache Tomcat Scanner：这是一个专门针对Tomcat服务器的扫描工具。你可以使用以下命令来扫描目标：

  python tomcat_scanner.py  -t <your-server>

  5. 配置检查

  检查Tomcat的配置文件（如web.xml 和server.xml ），确保已经禁用了不必要的功能和接口。例如：

• 禁用不必要的HTTP方法：在web.xml 中配置只允许GET和POST方法：

  <security-constraint>
      <web-resource-collection>
          <web-resource-name>Restricted Methods</web-resource-name>
          <url-pattern>/*</url-pattern>
          <http-method>PUT</http-method>
          <http-method>DELETE</http-method>
          <http-method>TRACE</http-method>
          <http-method>OPTIONS</http-method>
      </web-resource-collection>
      <auth-constraint>
          <role-name>none</role-name>
      </auth-constraint>
  </security-constraint>

  配置错误页面：在web.xml 中配置自定义的错误页面，以防止泄露Tomcat的版本信息：

  <error-page>
      <error-code>404</error-code>
      <location>/system_error.html</location> 
  </error-page>

  6. 升级和补丁

  如果你发现Tomcat存在信息泄露漏洞，最好的解决方法是升级到最新版本的Tomcat，并应用所有相关的安全补丁。

  通过以上步骤，你可以有效地检测和防范Tomcat服务器的信息泄露漏洞。

五、Tomcat 存在信息泄露漏洞的危害

主要包括以下几个方面：

1. 敏感信息泄露：攻击者可以通过漏洞获取应用程序的敏感配置、源代码、用户数据等信息。这些信息一旦泄露，可能导致严重的数据泄露事件，损害企业和用户的利益。

2. 身份冒充：如果泄露的信息包含用户凭证（如用户名和密码），攻击者可以利用这些凭证冒充合法用户，进行未经授权的操作，进一步扩大攻击范围。

3. 数据篡改：攻击者可能不仅限于读取数据，还可能篡改或删除重要数据，导致数据完整性和可靠性受损。

4. 服务中断：攻击者可能利用泄露的信息发起进一步的攻击，如拒绝服务攻击（DoS），导致服务中断，影响业务连续性。

5. 信任度下降：信息泄露事件会严重损害企业的声誉和用户对系统的信任度，可能导致客户流失和经济损失。

6. 法律和合规风险：许多行业和地区都有严格的数据保护法律法规。信息泄露事件可能导致企业面临法律诉讼和罚款，增加合规风险。

为了减轻这些危害，建议及时升级到安全版本的 Tomcat，并采取额外的安全措施，如移除不必要的管理应用、设置适当的文件权限、使用内容安全策略（CSP）等。同时，定期进行安全审计和漏洞扫描，确保系统的安全性。

六、Tomcat信息泄露漏洞案例

1、CVE - 2021 - 43980信息泄露漏洞案例

• 漏洞详情
  • Apache Tomcat是一个流行的开源Web服务器和Java代码的Servlet容器。由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误（极难触发），可能使客户端连接共享一个Http11Processor实例，导致响应或部分响应被错误的客户端接收，造成信息泄露。
• 影响版本
  • Apache Tomcat 10.1.0 - M1 - 10.1.0 - M12
  • Apache Tomcat 10.0.0 - M1 - 10.0.18
  • Apache Tomcat 9.0.0 - M1 - 9.0.60
  • Apache Tomcat 8.5.0 - 8.5.77
• 漏洞修复建议
  • 受影响用户可以升级到以下版本：
    • Apache Tomcat版本 = 10.1.0 - M14
    • Apache Tomcat版本 = 10.0.20
    • Apache Tomcat版本 = 9.0.62
    • Apache Tomcat版本 = 8.5.78

2、CVE - 2016 - 8747信息泄露漏洞案例

• 漏洞详情
  • 为更广泛地使用ByteBuffer，在重构时引入了一种回归，可能会导致信息在同一连接上的请求之间泄漏。当在逆向代理之后运行时，可能会导致用户之间的信息泄漏。所有的HTTP HTTPconnectorvariants都会受到影响，HTTP/2和AJP不受影响。
• 影响版本
  • Apache Tomcat 9.0.0.m11到9.0.0.m15
  • Apache Tomcat 8.5.7到8.5.9
• 解决方案
  • 受影响的用户应：
    • 升级到Apache Tomcat 9.0.0.M17或更高版本（Apache Tomcat 9.0.0.M16已有修复，但未发布）
    • 升级到Apache Tomcat 8.5.11或更高版本（Apache Tomcat 8.5.10已有修复，但未发布），更早期版本不受影响。

七、Tomcat信息泄露漏洞修复方法

一、修复Tomcat example应用信息泄漏漏洞

• 漏洞描述
  • Tomcat example应用信息泄漏漏洞可能导致用户绕过验证直接登录后台。所有版本的Tomcat均受影响。
• 修复方案
  • 部署后删除servlets-examples和tomcat-docs目录，但需先做好备份或建立硬盘快照。

二、Tomcat 漏洞修复建议

• 创建低权限的账号运行Tomcat
  • 操作步骤如下:
    • useradd tomcat -- 新增tomcat用户
    • chown -R tomcat:tomcat /opt/tomcat -- 将tomcat目录owner改为tomcat
• 禁止向请求者提供调试信息
  • 在Tomcat根目录下的conf/web.xml 文件里面的web-app添加子节点: <error-page><exception-type>java.lang.Throwable</exception-type><location>/error.jsp</location></error-page>
  • 在webapps目录下创建error.jsp ，定义自定义错误信息。

三、禁用Tomcat的AJP协议端口

• 操作步骤
  • 在conf/server.xml 配置文件中注释掉AJP协议端口的相关配置。

四、升级Tomcat版本

• 建议
  • 把Tomcat更新至最新版本，在最新版本的基础上修复漏洞。Apache Tomcat官网已经发布修复漏洞的版本，版本分别为: Tomcat 9.0.31、Tomcat 8.5.51、Tomcat 7.0.100，大家可以通过Apache Tomcat官网下载相应的版本进行更新。