MENU

Tomcat文件包含漏洞CNVD-2020-1048批量检测

0x00:内外网资产收集思路

思路一:首先通过namp或masscan对内网所有存活资产进行快速8009存活端口检测。

nmap -v -n --open -p 6379 192.168.128.0/24   //快速扫描网段指定端口
nmap -v -sn -PE -n --min-hostgroup 1024 --min-parallelism 1024 -oG c:\\192.168.128.0.txt 192.168.128.0/24 快速检测存活IP

masscan -p8009  10.31.16.0/21  --rate=1000  >10.31.16Results.txt

0x01:采用脚本检测端口

github链接:https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner
1、将需要扫描的域名/ip放于 ip.txt
ip.txt中不需要加协议,比如

127.0.0.1
www.baidu.com
www.google.com

2、python threading-find-port-8009.py
将会生成8009.txt,作用为扫描ip.txt中域名/ip找出开放8009端口
2869800501.png
3、python threading-CNVD-2020-10487-Tomcat-Ajp-lfi.py
从8009.txt中筛选出符合漏洞的url,放置于vul.txt中 最后vul.txt中存在的域名即为含有漏洞的域名.
3290629160.png
4、测试
拿 CNVD-2020-10487-Tomcat-Ajp-lfi.py测试即可
python CNVD-2020-10487-Tomcat-Ajp-lfi.py 10.67.200.160 单个域名测试
574931995.png

0x02:通过文件上传漏洞包含webshell进行RCE

参考链接:CNVD-2020-10487(CVE-2020-1938)tomcat ajp 文件读取漏洞:https://blog.csdn.net/sun1318578251/article/details/104433346/

复现漏洞即可不深入研究RCE,相关工具见附件

CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner-master.zip


漏洞介绍

Apache Tomcat存在文件包含漏洞
CNVD-2020-1048/CVE-2020-1938
安全公告编号:CNTA-2020-0004

2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。

一、漏洞情况分析

Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。

2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:
Tomcat 6
Tomcat 7
Tomcat 8
Tomcat 9
CNVD平台对Apache Tomcat AJP协议在我国境内的分布情况进行统计,结果显示我国境内的IP数量约为55.5万,通过技术检测发现我国境内共有43197台服务器受此漏洞影响,影响比例约为7.8%。

三、漏洞处置建议

目前,Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,CNVD建议用户尽快升级新版本或采取临时缓解措施:
1.如未使用Tomcat AJP协议:
如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。
如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。
具体操作:

(1)编辑 /conf/server.xml,找到如下行( 为 Tomcat 的工作目录):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

(2)将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新启动,规则方可生效。

  1. 如果使用了Tomcat AJP协议:
    建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

参考链接:
https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html
https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html
https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for
https://mp.weixin.qq.com/s/hvRD-0MqXHW8yJupbQt1ng


文章标题:Tomcat文件包含漏洞CNVD-2020-1048批量检测
如果文中内容侵犯了您的权益,请及时与博主取得联系进行删除!
本站文章未经许可禁止转载,本文地址:https://blog.wanvale.com/archives/15/

Last Modified: January 2, 2021
Archives QR Code Tip
QR Code for this page
Tipping QR Code