漏洞背景

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器，按照Sun Microsystems提供的技术规范，实现了对Servlet和JavaServer Page(JSP)的支持，并提供了作为Web服务器的一些特有功能，如Tomcat管理和控制平台、安全域管理和Tomcat阀等。由于Tomcat本身也内含了一个HTTP服务器，它也可以被视作一个单独的Web服务器。因为其运行时占用的系统资源小，扩展性好，支持负载平衡与邮件服务等开发应用系统常用的功能；而且它还在不断的改进和完善中，故很受广大用户的欢迎。

影响版本

漏洞编号CVE-2020-1938

Tomcat 6

tomcat 7 < 7.0.100

tomcat 8 < 8.5.51

tomcat 9 < 9.0.31

环境搭建

测试环境：

ubuntu 18.04

java 11.0.6

Apache tomcat 8.5.49

1、tomcat源码获取、解压安装

https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.49/bin/

源码解压

2、java 环境配置、tomcat服务开启

进入tomcat中bin目录下，编辑startup.sh、shutdown.sh在最后一行加入如下信息(注意根据自己实际情况修改JAVA_HOME和TOMCAT_HOME)

开启tomcat服务

3、访问测试浏览器输入http://192.168.1.4:8080

环境搭建成功

漏洞复现

Tomcat默认情况下开启AJP服务，利用Xray0.19.2 进行漏洞检测

工具链接：https://github.com/chaitin/xray/releases

利用漏洞进行包含敏感文件web.xml、index.jsp

web.xml

index.jsp

修复建议

1、如未使用Tomcat AJP协议：

如未使用 Tomcat AJP 协议，可以直接将 Tomcat 升级到 9.0.31、8.5.51或7.0.100 版本进行漏洞修复。如无法立即进行版本更新、或者是更老版本的用户，建议直接关闭AJPConnector，或将其监听地址改为仅监听本机localhost。具体操作：(1)编辑 /conf/server.xml，找到如下行( 为 Tomcat 的工作目录)：(2)将此行注释掉(也可删掉该行)：(3)保存后需重新启动，规则方可生效。

2、如果使用了TomcatAJP协议：

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复，同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值)：如无法立即进行版本更新、或者是更老版本的用户，建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值)：参考链接：https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.htmlhttps://tomcat.apache.org/tomcat-8.0-doc/config/ajp.htmlhttps://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for