Tomcat介绍

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为比较流行的Web 应用服务器。

一、Tomcat AJP 任意文件读取/包含漏洞 （CVE-2020-1938）

1. 漏洞描述

Apache Tomcat文件包含漏洞是由Tomcat AJP协议存在缺陷而导致，可利用该漏洞通过构造特定参数进行文件包含操作，进而读取受影响Tomcat服务器上的Web应用目录下的任意文件，如配置文件或源代码等。此外，如果目标应用有文件上传功能，攻击者还可以利用这个漏洞配合文件包含来实现远程代码执行，从而控制整个系统。

2. 影响版本

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

3. 漏洞原理

Tomcat 配置了两个Connecto，它们分别是 HTTP 和 AJP ：HTTP默认端口为8080，处理http请求，而AJP默认端口8009，用于处理 AJP 协议的请求，而AJP比http更加优化，多用于反向、集群等，漏洞由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件以及可以包含任意文件，如果有某上传点，上传图片马等等，即可以获取shell

tomcat默认的conf/server.xml中配置了2个Connector，一个为8080的对外提供的HTTP协议端口，另外一个就是默认的8009 AJP协议端口，两个端口默认均监听在外网ip。

4. 漏洞复现

复现环境：vulhub靶场+kali2023

开启靶机

root@Fly:~/vulhub/tomcat/CVE-2020-1938# docker compose build
root@Fly:~/vulhub/tomcat/CVE-2020-1938# docker compose up -d

1. 扫描靶机开放的端口

┌──(root㉿kali)-[/home/kali/Desktop]
└─# nmap -sV -p- 192.168.111.146

发现8080端口开启（AJP默认端口8009）

2. 利用poc进行漏洞检测，若存在漏洞则可以查看webapps目录下的所有文件

┌──(root㉿kali)-[/home/kali/Desktop]
└─# git clone https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi      

3. 尝试读取8009端口下的web.xml文件

┌──(root㉿kali)-[/home/kali/Desktop]
└─# cd CNVD-2020-10487-Tomcat-Ajp-lfi 

┌──(root㉿kali)-[/home/kali/Desktop/CNVD-2020-10487-Tomcat-Ajp-lfi]
└─# python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py  -p 8009 -f /WEB-INF/web.xml 192.168.111.146

存在CVE-2022-1938漏洞，使用相关poc测试发现成功拉取到文件

二、任意文件写入漏洞 （CVE-2017-12615）

1. 漏洞原理

由于配置不当（非默认配置），将配置文件conf/web.xml中的readonly设置为了 false，导致可以使用PUT方法上传任意文件，但限制了jsp后缀的文件。
默认情况下 readonly 为 true，当 readonly 设置为 false 时，可以通过 PUT / DELETE 进行文件操控并可以执行任意代码。

2. 影响版本

主要影响的是Tomcat : 7.0.0-7.0.81

3. 漏洞复现

【vulhub靶场】
开启环境，并且查看配置文件conf/web.xml中的readonly是否设置为 false

root@Fly:~/vulhub/tomcat/CVE-2017-12615# docker compose build
root@Fly:~/vulhub/tomcat/CVE-2017-12615# docker compose up -d
root@Fly:~/vulhub/tomcat/CVE-2017-12615#  docker ps
CONTAINER ID   IMAGE    COMMAND    CREATED     STATUS    PORTS     NAMES
930557c071d3   cve-2017-12615-tomcat   "catalina.sh run"   20 minutes ago   Up 19 minutes   0.0.0.0:8080->8080/tcp, :::8080->8080/tcp   cve-2017-12615-tomcat-1

root@Fly:~/vulhub/tomcat/CVE-2017-12615#  docker exec -ti 930557c071d3 bash
root@930557c071d3:/usr/local/tomcat# ls
LICENSE  RELEASE-NOTES	bin   include  logs	       temp	work
NOTICE	 RUNNING.txt	conf  lib      native-jni-lib  webapps
root@930557c071d3:/usr/local/tomcat# cat conf/web.xml | grep readonly
  <!--   readonly            Is this context "read only", so HTTP           -->
<init-param><param-name>readonly</param-name><param-value>false</param-value></init-param>

可以看到这里Tomcat 设置了写入权限（readonly=false），这导致了我们可以将文件写入服务器的结果。

成功运行上述命令后，通过访问网站看到 Tomcat 的示例页面。http://your-ip:8080

抓包可以看到是GET方法，进行修改

修改为PUT方法，写入一个1.txt并向其文件中写入内容

然后进入服务器查看，成功将1.txt写入服务器中。

Tomcat 在一定程度上检查了文件后缀（不能直接写 jsp），直接上传导致报错，但我们还是可以通过一些文件系统功能绕过限制。

方法一：使用斜杠/，斜杠在文件名中是非法的，所以会被去除（Linux和Windows中都适用）

从服务器可以看到成功写入jsp后缀的文件

方法二：首先使用%20绕过。%20对应的是空格，在windows中若文件这里在jsp后面添加%20即可达到自动抹去空格的效果。

从服务器可以看到，成功上传jsp后缀的文件

方法三：使用Windows NTFS流，在jsp后面添加::$DATA

三、Tomcat 弱密码 && 后端 Getshell 漏洞

1. 漏洞描述

Tomcat 支持通过后端部署 war 文件，因此我们可以直接将 webshell 放入 web 目录下。为了访问后端，需要权限。在tomcat8环境下，默认的后台密码为tomcat:tomcat，未修改默认密码就会造成未经授权的后台访问。

2. 影响版本

Tomcat 8.0版本

Tomcat7+的权限如下：

• manager（后台管理）
• manager-gui（html页面权限）
• manager-status（查看状态的权限）
• manager-script（文本界面权限和状态权限）
• manager-jmx（jmx 权限和状态权限）

host-manager（虚拟主机管理）

• admin-gui（html页面权限）
• admin-script（文本界面权限）

3. 漏洞复现

开启靶机

弱口令进入（账号：tomcat 密码：tomcat）

再使用哥斯拉生成一个jsp木马文件

压缩完成之后进行更改后缀，zip—> war，进行上传

点击进入之后会发现报错，先不要慌

加上文件名即可，发现无报错，但是啥也没有显示，说明上传成功了。

使用哥斯拉连接


连接成功，拿到webshell进入后门。