漏洞背景

• 安全公告编号&＃xff1a;CNTA-2020-0004
• 漏洞内容&＃xff1a;攻击者可利用该高危漏洞读取或包含Tomcat上所有 webapp目录下的任意文件&＃xff0c;如&＃xff1a;webapp配置文件或源代码等。
• 受影响的版本包括&＃xff1a;Tomcat 6&＃xff0c;Tomcat 7的7.0.100以下版本&＃xff0c;Tomcat 8的8.5.51以下版本&＃xff0c;Tomcat 9的9.0.31以下版本。
• 漏洞综合评级&＃xff1a;高危。

详细内容&＃xff1a;https://mp.weixin.qq.com/s/hvRD-0MqXHW8yJupbQt1ng

漏洞分析

AJP Connector

Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接&＃xff0c;Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求&＃xff0c;以及把Tomcat服务器的响应结果发送给客户。在Apache Tomcat服务器中我们平时用的最多的8080端口&＃xff0c;就是所谓的Http Connector&＃xff0c;使用Http&＃xff08;HTTP/1.1&＃xff09;协议&＃xff0c;在 conf/server.xml 文件里&＃xff0c;它对应的配置为&＃xff1a;

而 AJP Connector&＃xff0c;它使用的是 AJP 协议&＃xff08;Apache Jserv Protocol&＃xff09;是定向包协议。因为性能原因&＃xff0c;使用二进制格式来传输可读性文本&＃xff0c;它能降低 HTTP 请求的处理成本&＃xff0c;因此主要在需要集群、反向代理的场景被使用。

Ajp协议对应的配置为&＃xff1a;

Tomcat服务器默认对外网开启该端口&＃xff0c;Web客户访问Tomcat服务器的两种方式&＃xff1a;

代码分析

漏洞产生的主要位置是在处理Ajp请求内容的地方org.apache.coyote.ajp.AbstractAjpProcessor.java#prepareRequest()&＃xff1b;

这里首先判断SC_A_REQ_ATTRIBUTE&＃xff0c;意思是如果使用的Ajp属性并不在上述的列表中&＃xff0c;那么就进入这个条件&＃xff1b;如果此时Ajp13没有配置转发远程端口&＃xff0c;那么就可以接受转发的数据作为远程端口。

于是这里我们可以进行对Ajp设置特定的属性&＃xff0c;封装为request对象的Attribute属性&＃xff0c;比如以下三个属性可以被设置&＃xff1a;

1. javax.servlet.include.request_uri
2. javax.servlet.include.path_info
3. javax.servlet.include.servlet_path

设置后可以形成两个漏洞&＃xff1a;任务文件读取和远程代码执行。

 任意文件读取

当请求被分发到org.apache.catalina.servlets.DefaultServlet#serveResource()方法&＃xff1b;

调用getRelativePath方法&＃xff0c;需要获取到request_uri不为null&＃xff0c;然后从request对象中获取并设置pathInfo属性值和servletPath属性值。

命令执行

当在处理jsp请求的uri时&＃xff0c;会调用org.apache.jasper.servlet.JspServlet#service()&＃xff1b;

最后会将pathinfo交给serviceJspFile处理&＃xff0c;以jsp解析该文件&＃xff0c;所以当我们可以控制服务器上jsp文件的时候&＃xff0c;比如上传jsp文件&＃xff0c;这时就能够造成rce(远程命令/代码执行漏洞)。