tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞通告(附poc)

最新推荐文章于 2023-06-26 16:11:41 发布
最新推荐文章于 2023-06-26 16:11:41 发布
阅读量159 收藏
点赞数
文章标签: tomcat ajp协议安全限制绕过漏洞

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。

国家信息安全漏洞共享平台CNVD于昨日发布了Apache Tomcat文件包含漏洞CNVD-2020-1048的威胁通告。该漏洞(CVE-2020-1938)是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复,根据国内某空间测绘引擎的漏洞影响范围来看,是比较大的。

影响范围

受影响版本:

  • Apache Tomcat 6

  • Apache Tomcat 7 < 7.0.100

  • Apache Tomcat 8 < 8.5.51

  • Apache Tomcat 9 < 9.0.31

不受影响版本:

  • Apache Tomcat = 7.0.100

  • Apache Tomcat = 8.5.51

  • Apache Tomcat = 9.0.31

漏洞防护

官方升级

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

版本号 下载地址

Apache Tomcat 7.0.100 http://tomcat.apache.org/download-70.cgi

Apache Tomcat 8.5.51 http://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.31 http://tomcat.apache.org/download-90.cgi

其他防护措施

如果相关用户暂时无法进行版本升级,可根据自身情况采用下列防护措施。

若不需要使用Tomcat AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost。

具体操作:

(1)编辑 /conf/server.xml,找到如下行( 为 Tomcat 的工作目录):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

d8c3ae9126b3f2ba62428b1895f6709a.png

(2)将此行注释掉(也可删掉该行):


(3)保存后需重新启动Tomcat,规则方可生效。

若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

漏洞复现

下载并搭建含漏洞版本Tomcat,这里略过

f8e53d99c3314eb1821b03ae19ea94d7.png

POC:

  • https://github.com/0nise/CVE-2020-1938

  • https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC

  • https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner

  • https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/

参考链接:

  • https://www.cnvd.org.cn/webinfo/show/5415

  • https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

  • https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

3a508835a51fd65e57599c4aa8abdd2c.png

weixin_39966225
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
如何测试Tomcat是否启动成功
热门推荐
振华OPPO的博客世界
04-20 5万+
今天教给大家Tomcat的两种打开方式和两种检测方法。
判断tomcat是否启动成功_Tomcat 服务的下载和安装
weixin_39539002的博客
11-24 1463
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳...
华纳云:linux如何查看tomcat运行状态
YOKEhn的博客
06-26 3175
这些方法可以帮助您查看Tomcat的运行状态,以及识别是否正在运行或遇到任何问题。请注意,具体的命令和方式可能因不同的Tomcat版本和Linux发行版而有所不同,您可以根据自己的环境进行相应调整。
linux如何查看tomcat是否运行_Linux 使用ss命令查看服务运行状态
weixin_39616222的博客
12-04 2114
前言 ss(Socket Statistics,套接字统计):可以显示各类协议、各种状态的套接字信息,从而有效跟踪服务运行状态(如服务是否启动)和服务端与客户端的连接状态。 目录一、描述二、命令三、ss命令返回字段含义四、总结五、思维导图一、描述 ss(Socket Statistics,套接字统计):可以用来获取socket统计信息,它显示的内容和netstat类似。但ss的优势在于它能够显示更...
Linux环境下,查看Tomcat是否启动成功
weixin_44488927的博客
07-21 1万+
以上六种方法都可以查询Tomcat是否启动成功,更多的方法可以继续探索,其实每个人都有自己的一些操作习惯,有自己一套查询bug方法,只要是能适合自己快速定位解决bug都是好方法。4、使用ps-ef|greptomcat命令,如果有Tomcat进程,说明Tomcat已经启动,但是也不能确定是否启动成功,需要配合操作查询是否可以访问界面。2、使用top命令,如果你的项目是使用Tomcat来启动的,Linux中输入top命令,返回的列表如果有Java服务,说明你的Tomcat已经启动成功。...
jboss4版本修复Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)升级包
04-25
jboss4版本下,jbossweb-tomcat55.sar升级包,修复Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439) 升级包中的jar来源于tomcat5.5.36 使用方法:直接替换jboss中旧的jbossweb-tomcat55.sar
关于TomcatAJP端口禁用.docx
04-08
安全加固Tomca漏洞,禁用AJP接口。
tomcat6_apache2.2_ajp 负载均衡加集群实战分享
01-10
一台apache2.2服务器,三台tomcat服务器: apache2.2服务器 1.ip:192.168.1.20 2.只装apache软件:httpd-2.2.6.tar.bz2 安装路径:/usr/local/apache2 tomcat服务器:均配置相同的应用。 1.集群名:balancer://tomcat...
apache tomcat ajp协议安全限制绕过漏洞_TomcatAjp漏洞:我是如何一步步写出POC的?...
weixin_39956009的博客
01-17 555
前言晚上,朋友圈有人发了篇tomcat-ajp漏洞通告和一个简要分析的文章,也是当时唯一的参考文章,本着“好好学习、天天向上”的态度,作为小白,就想试着分析下,看看能不能写出poc。所以本文主要讲述一个小白(当然也不能太白,java至少要会吧,网站要知道是啥吧)如何一步步调试分析,编写poc的过程。一、漏洞介绍简单来说就是apache tomcat服务器的8009端口上的ajp协议存在...
Linux查看tomcat是否启动,查看tomcat监听端口
longzhutengyue的博客
03-06 2203
Linux tomcat 监听端口
tomcat_put写入POC.py
qq_57053860的博客
06-07 82
print('+ \033[36m(Y/N) >>> 2023年5月23日 \033[0m')print('+ \033[34mVersion: Tomcat PUT文件写入 \033[0m')jsp = input('$请输入要保存的jsp文件:')url = input('$请输入目标url:')print('没有漏洞')
Apache Tomcat任意文件读取漏洞POC测试(CVE-2020-1938)
午夜观星河
03-27 5097
CVE-2020-1938(POC测试) 1.背景 Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服...
python学习导航.txt
05-06
python
node-v8.3.0-linux-s390x.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Tomcat AJP协议攻击
05-26
Tomcat AJP协议攻击是一种利用Tomcat应用服务器中的AJP(Apache JServ 协议协议漏洞或存在弱口令等安全问题的攻击方式。攻击者通过AJP协议访问Tomcat应用服务器的服务端口,从而获得未授权的对应用程序的访问权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值