如何解析Apache Tomcat文件包含CVE-2020-1938漏洞复现

引言

Apache Tomcat是一个广泛使用的开源Java Servlet容器，用于运行Java Web应用程序。然而，2020年2月，Apache Tomcat被发现存在一个严重的安全漏洞，编号为CVE-2020-1938。该漏洞允许攻击者通过AJP协议进行文件包含攻击，可能导致敏感信息泄露或远程代码执行。本文将详细解析该漏洞的原理、影响范围以及如何复现该漏洞。

漏洞概述

CVE-2020-1938漏洞简介

CVE-2020-1938漏洞主要影响Apache Tomcat的AJP（Apache JServ Protocol）协议。AJP协议是Tomcat与Web服务器（如Apache HTTP Server）之间进行通信的协议。该漏洞允许攻击者通过AJP协议发送恶意请求，绕过安全限制，读取或包含服务器上的任意文件。

影响范围

该漏洞影响以下版本的Apache Tomcat：

• Apache Tomcat 9.x < 9.0.31
• Apache Tomcat 8.x < 8.5.51
• Apache Tomcat 7.x < 7.0.100
• Apache Tomcat 6.x < 6.0.53

漏洞原理

AJP协议简介

AJP协议是Tomcat与Web服务器之间进行通信的二进制协议。它允许Web服务器将请求转发给Tomcat，并将Tomcat的响应返回给客户端。AJP协议通常用于提高性能，特别是在高负载环境下。

漏洞成因

CVE-2020-1938漏洞的成因在于Tomcat在处理AJP请求时，未对请求中的文件路径进行充分验证。攻击者可以通过构造恶意的AJP请求，指定服务器上的任意文件路径，从而读取或包含这些文件。

具体来说，攻击者可以通过AJP协议的javax.servlet.include.request_uri和javax.servlet.include.path_info属性，指定要包含的文件路径。由于Tomcat未对这些路径进行严格的验证，攻击者可以利用这一点读取服务器上的敏感文件，如WEB-INF/web.xml、WEB-INF/classes目录下的Java类文件等。

漏洞复现

环境准备

为了复现CVE-2020-1938漏洞，我们需要准备以下环境：

1. Apache Tomcat 9.0.30：这是受漏洞影响的版本之一。
2. AJP Connector：确保Tomcat配置中启用了AJP连接器。
3. 攻击工具：可以使用ajpShooter或ajpfuzzer等工具进行漏洞利用。

复现步骤

步骤1：安装并配置Apache Tomcat

1. 下载并安装Apache Tomcat 9.0.30。
2. 确保conf/server.xml文件中启用了AJP连接器，配置如下：

   <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

1. 启动Tomcat服务器。

步骤2：使用攻击工具发送恶意AJP请求

1. 下载并安装ajpShooter工具。
2. 使用以下命令发送恶意AJP请求：

   python ajpShooter.py http://localhost:8009 /WEB-INF/web.xml

该命令尝试读取Tomcat服务器上的WEB-INF/web.xml文件。

步骤3：验证漏洞

如果漏洞存在，攻击工具将成功读取WEB-INF/web.xml文件的内容，并将其输出到终端。这表明攻击者可以利用该漏洞读取服务器上的敏感文件。

漏洞修复

为了防止CVE-2020-1938漏洞的利用，建议采取以下措施：

1. 升级Tomcat版本：升级到不受漏洞影响的版本，如Tomcat 9.0.31、8.5.51、7.0.100或6.0.53。
2. 禁用AJP连接器：如果不需要使用AJP协议，可以在conf/server.xml文件中禁用AJP连接器。
3. 配置防火墙：限制对AJP端口（默认8009）的访问，只允许受信任的IP地址访问。

结论

CVE-2020-1938漏洞是一个严重的安全漏洞，允许攻击者通过AJP协议读取或包含服务器上的任意文件。本文详细解析了该漏洞的原理、影响范围以及如何复现该漏洞。为了防止该漏洞的利用，建议及时升级Tomcat版本或禁用AJP连接器。通过采取适当的安全措施，可以有效保护Tomcat服务器免受此类攻击。

参考

• CVE-2020-1938漏洞公告
• Apache Tomcat官方安全公告
• ajpShooter工具