【CVE-2020-1938】Tomcat AJP 任意文件读取和包含漏洞分析记录

时间：2020-02-21 21:58:29 阅读：1874 评论：0 收藏：0 [点我收藏+]

标签：unit vax 处理 api 解决 rpc 天前 archive 技术

0x00 前言

2020年2月20日傍晚，在某群看到有群友问CNVD的tomcat文件包含漏洞有什么消息没

接着看到安恒信息应急响应中心公众号发了个漏洞公告

随后chy师傅也在群里发了个阿里云的公告链接

根据安恒和阿里云公告给出的信息我们知道是tomcat ajp服务出了问题，但具体是哪里出了问题却不知道。（这个时候我就在想阿里云是怎么知道ajp服务出了问题的呢？

以tomcat7为例给出的修复版本是100，遂去github看commit，看100版本release之前的commit记录。

0x01 初见端倪

找到15天前相关ajp的commit

从最下面往上看：

1，先是默认不开启AJP connector，然后又是修改默认绑定地址，绑定在本地

2，修改一个属性设置

https://github.com/apache/tomcat/commit/40d5d93bd284033cf4a1f77f5492444f83d803e2

技术图片

强制设置认证secret，否则不启动AJP Connector

3，添加一个新AJP属性

https://github.com/apache/tomcat/commit/b99fba5bd796d876ea536e83299603443842feba 技术图片

应该就是新属性这里。

因为原本的代码里面会把不识别的属性添加进去，从而导致操纵内部数据。（但怎么操纵呢？）

https://github.com/apache/tomcat/commit/b99fba5bd796d876ea536e83299603443842feba#diff-e5bf250e10dab446db3ee424bc5c9ba8L871

技术图片

接下来重点是分析ajp协议交互，如何发送属性

后面翻资料，看到cnvd的公告（https://www.cnvd.org.cn/webinfo/show/5415）

注意公告里面的这句话

相关参数可控，构造特定参数”

加上前面对commit的分析，也从侧面证实了自己的想法。

课间休息，吃个饭回来

安恒研究院公众号直接发了分析文章（https://mp.weixin.qq.com/s/GzqLkwlIQi_i3AVIXn59FQ）

直接就抛出了要控制的三个属性

技术图片

与及两种利用方式

1、利用DefaultServlet实现任意文件下载 (不带后缀)

2、通过jspservlet实现任意后缀文件包含（带jsp后缀）

这下子就全明白了，接下来就是下载tomcat源码调试了。

0x02 环境搭建

环境搭建这块其实是在吃饭之前就弄了，因为一直被吹去吃饭，导致一直配置不成功源码导入idea。

根据这个文章：https://blog.csdn.net/u013268035/article/details/81349341，我用的是tomcat 7.0.99搭建环境

有几个注意点：

1，我们需要下载两个tomcat，一个是tomcat源码压缩包（https://archive.apache.org/dist/tomcat/tomcat-7/v7.0.99/src/apache-tomcat-7.0.99-src.zip），另一个是tomcat可执行的压缩包。（https://archive.apache.org/dist/tomcat/tomcat-7/v7.0.99/bin/apache-tomcat-7.0.99-windows-x64.zip）

2，根据文章，注意是将tomcat可执行文件压缩包里面的webapps和conf拷贝到源码的home目录

3，新建一个pom.xml，复制一下即可

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
 
    <modelVersion>4.0.0</modelVersion>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>Tomcat7.0.99</artifactId>
    <name>Tomcat7.0.99</name>
    <version>7.0</version>
 
    <properties>
        <java.version>1.7</java.version>
    </properties>
 
    <dependencies>
        <dependency>
            <groupId>org.apache.ant</groupId>
            <artifactId>ant</artifactId>
            <version>1.7.1</version>
        </dependency>
        <dependency>
            <groupId>ant</groupId>
            <artifactId>ant-apache-log4j</artifactId>
            <version>1.6.5</version>
        </dependency>
        <dependency>
            <groupId>ant</groupId>
            <artifactId>ant-commons-logging</artifactId>
            <version>1.6.5</version>
        </dependency>
        <dependency>
            <groupId>wsdl4j</groupId>
            <artifactId>wsdl4j</artifactId>
            <version>1.6.2</version>
        </dependency>
        <dependency>
            <groupId>javax.xml.rpc</groupId>
            <artifactId>javax.xml.rpc-api</artifactId>
            <version>1.1</version>
        </dependency>
        <dependency>
            <groupId>org.eclipse.jdt.core.compiler</groupId>
            <artifactId>ecj</artifactId>
            <version>4.5.1</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>
    </dependencies>
 
    <build>
        <finalName>Tomcat7.0</finalName>
        <sourceDirectory>java</sourceDirectory>
        <resources>
            <resource>
                <directory>java</directory>
            </resource>
        </resources>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.0</version>
                <configuration>
                    <encoding>UTF-8</encoding>
                    <source>${java.version}</source>
                    <target>${java.version}</target>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

成功跑起来（后补的图）

技术图片

接下来的问题就在于如何用ajp协议与tomcat交互，然后动态调试了

交互这块，两个方法：

1，直接根据官方文档手撸

2，找人家写好的

在之前长亭科技（漏洞发现者）发了漏洞公告，还起了个名字叫“幽灵猫”，搭配发了poc检测到xray，拉下xray用wireshark抓包分析了一下

发现只是检测一下版本而已，但是有一个标头让我觉得奇怪，“AJP_REMOTE_PORT”，这个东西应该就是属性了。

回到正题，代码太水，手撸时间花费太多了，直接找别人写好的，github大法好，直接搜索ajp

技术图片

找到两个库，看一下READEME，选择了python版本

拉下来研究一下代码(代码很熟悉就是chy师傅推特gif图上面的)，又看到了我们熟悉的"AJP_REMOTE_PORT"

接着研究一下代码，改写一下就可以发送我们自己的属性了。

技术图片

wireshark抓包，跟xray的poc一样了

技术图片

0x03 源码调试

根据前面，我们可以知道关键点在org.apache.coyote.ajp.AbstractAjpProcessor prepareRequest方法

在org.apache.coyote.ajp.AbstractAjpProcessor process方法中在调用prepareRequest方法的地方下一个断点

跟进，直接跟进到Decode extra attributes，也就是获取解析属性设置属性的地方

技术图片

循环获取，switch判断，看到如果case是属性类型，在最后的一个else里面把没有判断到的属性直接设置到request里面

技术图片

代码接着往下走，在预处理完了request headers之后，在adapter里面处理request

技术图片

接着调用容器来处理

技术图片

根据请求的url是否带JSP后缀，tomcat会将request交由不同的servlet来处理

不带jsp后缀的，直接用DefaultServlet来处理的情况（文件读取）

在HttpServlet中根据请求方法调用不同的方法处理

技术图片

这里方法是GET，一路跟进去

技术图片

跟进，最后看到处理路径的方法getRelativePath

技术图片

也就是在这里对安恒说的那三个值进行判断

技术图片

当javax.servlet.include.request_uri不为空的时候，取javax.servlet.include.path_info和javax.servlet.include.servlet_path的值进行拼接，然后返回path，之后进入lookupCache方法

技术图片

这里面的流程先是在缓存里面找，找不到了，然后在本地找，最终来到 org.apache.naming.resources.FileDirContext 的file方法，然后new一个File类对象。

技术图片

在File构造函数中会对path进行净化，限制了跨目录

技术图片

调用栈

file:811, FileDirContext (org.apache.naming.resources)
doLookup:208, FileDirContext (org.apache.naming.resources)
doLookupWithoutNNFE:494, BaseDirContext (org.apache.naming.resources)
lookup:475, BaseDirContext (org.apache.naming.resources)
lookupCache:1463, ProxyDirContext (org.apache.naming.resources)
serveResource:831, DefaultServlet (org.apache.catalina.servlets)
doGet:435, DefaultServlet (org.apache.catalina.servlets)
service:621, HttpServlet (javax.servlet.http)
service:415, DefaultServlet (org.apache.catalina.servlets)
service:728, HttpServlet (javax.servlet.http)
internalDoFilter:303, ApplicationFilterChain (org.apache.catalina.core)
doFilter:208, ApplicationFilterChain (org.apache.catalina.core)
invoke:219, StandardWrapperValve (org.apache.catalina.core)
invoke:110, StandardContextValve (org.apache.catalina.core)
invoke:492, AuthenticatorBase (org.apache.catalina.authenticator)
invoke:165, StandardHostValve (org.apache.catalina.core)
invoke:104, ErrorReportValve (org.apache.catalina.valves)
invoke:1025, AccessLogValve (org.apache.catalina.valves)
invoke:116, StandardEngineValve (org.apache.catalina.core)
service:452, CoyoteAdapter (org.apache.catalina.connector)
process:190, AjpProcessor (org.apache.coyote.ajp)
process:654, AbstractProtocol$AbstractConnectionHandler (org.apache.coyote)
run:317, JIoEndpoint$SocketProcessor (org.apache.tomcat.util.net)
runWorker:1145, ThreadPoolExecutor (java.util.concurrent)
run:615, ThreadPoolExecutor$Worker (java.util.concurrent)
run:61, TaskThread$WrappingRunnable (org.apache.tomcat.util.threads)
run:745, Thread (java.lang)

最后就是将读取到的资源输出回来

带JSP后缀jspservlet处理情况（文件包含）

在jspservlet的service方法断点，从request中属性中取出org.apache.catalina.jsp_file的值放到jspFile中，之后传入到serviceJspFile中处理。

技术图片

继续跟进，会先判断jsp 文件是否存在，如果存在，随后才会初始化wrapper，最后调用JspServletWrapper的service方法来解析。

技术图片

这里继续跟进getResource，当System.getSecurityManager()=true的时候，可从远程加载文件

技术图片

继续走，先是对path进行规范化处理

技术图片

继续跟进，到最后同样也是在org.apache.naming.resources.FileDirContext file方法中新创建一个File对象，判断文件是否存在。

技术图片

而其中base变量的值为访问的容器的web根目录

题外：tomcat内部是如何判断使用哪个servlet的呢？

在org.apache.tomcat.util.http.mapper internalMapExtensionWrapper方法进行一系列判断，设置wrapper，其中有判断，根据后缀设置warpper，当后缀为jsp或jspx的时候都会用jspServlet来处理

技术图片

调用栈如下：

internalMapExtensionWrapper:1170, Mapper (org.apache.tomcat.util.http.mapper)
internalMapWrapper:945, Mapper (org.apache.tomcat.util.http.mapper)
internalMap:874, Mapper (org.apache.tomcat.util.http.mapper)
map:742, Mapper (org.apache.tomcat.util.http.mapper)
postParseRequest:782, CoyoteAdapter (org.apache.catalina.connector)
service:446, CoyoteAdapter (org.apache.catalina.connector)
process:190, AjpProcessor (org.apache.coyote.ajp)
process:654, AbstractProtocol$AbstractConnectionHandler (org.apache.coyote)
run:317, JIoEndpoint$SocketProcessor (org.apache.tomcat.util.net)
runWorker:1145, ThreadPoolExecutor (java.util.concurrent)
run:615, ThreadPoolExecutor$Worker (java.util.concurrent)
run:61, TaskThread$WrappingRunnable (org.apache.tomcat.util.threads)
run:745, Thread (java.lang)

具体的处理逻辑就不说了

0x04 总结

0，思路一定要冷静清晰，分析清楚最重要的点，明白自己应该做什么

这里总结一下自己的思路：看公告，寻蛛丝马迹，然后到github找commit记录，大概理解漏洞的原理，然后根据需要的东西一步步进行

（需要AJP交互，如何解决？需要源码调试，环境搭建？）

1，漏洞公告以官方为准，细心留意公告的用词

2，开源的代码首先想到到github找commit记录

3，多方资料辅助验证

不足的地方：

0，tomcat源码运行流程，安恒是怎么知道DefaultServlet和jspservlet的呢？

1，代码能力提升，如果没有人家的轮子，你能自己快速造出来吗？

【CVE-2020-1938】Tomcat AJP 任意文件读取和包含漏洞分析记录

标签：unit vax 处理 api 解决 rpc 天前 archive 技术

原文地址：https://www.cnblogs.com/r00tuser/p/12343153.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行