2020年02月20日, 360CERT 監測發現 國家信息安全漏洞共享平臺(CNVD) 收錄了 CNVD-2020-10487 Apache Tomcat文件包含漏洞
Tomcat是由Apache軟件基金會屬下Jakarta項目開發的Servlet容器,按照Sun Microsystems提供的技術規范,實現了對Servlet和JavaServer Page(JSP)的支持。由于Tomcat本身也內含了HTTP服務器,因此也可以視作單獨的Web服務器。
CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件,如:webapp 配置文件、源代碼等。
1.2 影響版本
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x
1.3 漏洞分析
1.3.1 AJP Connector
Apache Tomcat服務器通過Connector連接器組件與客戶程序建立連接,Connector表示接收請求并返回響應的端點。即Connector組件負責接收客戶的請求,以及把Tomcat服務器的響應結果發送給客戶。在Apache Tomcat服務器中我們平時用的最多的8080端口,就是所謂的Http Connector,使用Http(HTTP/1.1)協議
在conf/server.xml文件里,對應的配置為
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
1
2
3
而 AJP Connector,它使用的是 AJP 協議(Apache Jserv Protocol)是定向包協議。因為性能原因,使用二進制格式來傳輸可讀性文本,它能降低 HTTP 請求的處理成本,因此主要在需要集群、反向代理的場景被使用。
Ajp協議對應的配置為
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
1
Tomcat服務器默認對外網開啟該端口 Web客戶訪問Tomcat服務器的兩種方式:
1.3.2 代碼分析
漏洞產生的主要位置在處理Ajp請求內容的地方org.apache.coyote.ajp.AbstractAjpProcessor.java#prepareRequest()
這里首先判斷SC_A_REQ_ATTRIBUTE,意思是如果使用的Ajp屬性并不在上述的列表中,那么就進入這個條件。
SC_A_REQ_REMOTE_PORT對應的是AJP_REMOTE_PORT,這里指的是對遠程端口的轉發,Ajp13并沒有轉發遠程端口,但是接受轉發的數據作為遠程端口。
于是這里我們可以進行對Ajp設置特定的屬性,封裝為request對象的Attribute屬性 比如以下三個屬性可以被設置
javax.servlet.include.request_uri
javax.servlet.include.path_info
javax.servlet.include.servlet_path
1
2
3
1.3.3 任意文件讀取
當請求被分發到org.apache.catalina.servlets.DefaultServlet#serveResource()方法
調用getRelativePath方法,需要獲取到request_uri不為null,然后從request對象中獲取并設置pathInfo屬性值和servletPath屬性值
接著往下看到getResource方法時,會把path作為參數傳入,獲取到文件的源碼
漏洞演示:讀取到/WEB-INF/web.xml文件
1.3.4 命令執行
當在處理 jsp 請求的uri時,會調用 org.apache.jasper.servlet.JspServlet#service()
最后會將pathinfo交給serviceJspFile處理,以jsp解析該文件,所以當我們可以控制服務器上的jsp文件的時候,比如存在jsp的文件上傳,這時,就能夠造成rce
漏洞演示:造成rce
1.4 修復建議
更新到如下Tomcat 版本:
Tomcat 分支 版本號
Tomcat 7 7.0.0100
Tomcat 8 8.5.51
Tomcat 9 9.0.31
Apache Tomcat 6 已經停止維護,請升級到最新受支持的 Tomcat 版本以免遭受漏洞影響。
請廣大用戶時刻關注 Apache Tomcat? – Welcome! 獲取最新的 Tomcat Release版本,以及 apache/tomcat: Apache Tomcat 獲取最新的 git 版本。
————————————————
版權聲明:本文為CSDN博主「祁娥安」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/weixin_45794138/article/details/104844692