2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞
Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。
CNVD-2020-10487是文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。
问题来源
ajp13是一个二进制的TCP传输协议,相比HTTP这种纯文本的协议来说,效率和性能更高,也做了很多优化,但是,浏览器并不能直接支持AJP13协议,只支持HTTP协议,通过Apache的proxy_ajp模块进行反向代理,暴露成http协议给客户端访问。其他支持AJP协议的代理服务器当然也可以用这种做法。但是实际情况是,支持AJP代理的服务器非常少,比如目前很火爆的Nginx就没这个模块。因此tomcat的配置大部分都是关闭AJP协议端口的,因为除了Apache之外别的http server几乎都不能反代AJP13协议,自然就没太大用处了。
问题处理
升级版本
Tomcat 分支 版本号
Tomcat 7 7.0.0100
Tomcat 8 8.5.51
Tomcat 9 9.0.31
1 如果你的服务是 放在tomcat (外网)的webapp目录下 ,那么你需要升级
2 如果你的服务是 apache+tomcat (内网),并且服务在tomcat的webapp目录下,那么你需要升级
3 如果你的服务是 nginx + tomcat(内网) ,那你貌似不需要担心,因为nginx,不支持ajp
3 如果你的服务 springboot ,直接对外,那你也不需要升级因为
如图所示,springboot 微服务 默认使用 http请求,没有使用ajp,二者是if else的关系。
攻击方式
这个是重点,有漏洞必须自己能够攻击才能验证自己有没有修复好
攻击代码地址
https://github.com/threedr3am/learnjavabug/blob/master/tomcat/ajp-bug/src/main/java/com/threedr3am/bug/tomcat/ajp/FileRead.java
端口是ajp服务的端口,如何查看呢
文件位置: apache-tomcat-8.5.32\conf\server.xml
注意内容:
攻击 单独启动tomcat的服务 的http端口,默认8080,无效,
攻击tomcat服务的ajp端口,默认 8009 ,拿到文件了 。
也可以攻击一下自己的springboot微服务,看看自己服务有么有问题,我就是这么干的
攻击ajp端口,无效,预料之中
攻击http端口,报错
这也说明,如果你的服务有这个报错,那就是有人攻击你 ,需要注意了
