加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解
参与深入探讨黑客的刺激与挑战的内容
实时黑客新闻
通过实时新闻和见解,跟上快速变化的黑客世界
最新公告
了解最新的漏洞赏金计划和重要平台更新
今天就加入我们的 Discord ,与顶尖黑客开始合作吧!
基本信息
来自: https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/
AJP 是一种线协议。它是 HTTP 协议的优化版本,允许独立的 web 服务器如 Apache 与 Tomcat 通信。从历史上看,Apache 在提供静态内容方面比 Tomcat 快得多。其想法是让 Apache 在可能的情况下提供静态内容,但将请求代理到 Tomcat 以获取与 Tomcat 相关的内容。
同样有趣的是:
ajp13 协议是面向数据包的。出于性能原因,显然选择了二进制格式而不是更易读的纯文本。web 服务器通过 TCP 连接与 servlet 容器通信。为了减少创建套接字的昂贵过程,web 服务器将尝试保持与 servlet 容器的持久 TCP 连接,并重用一个连接进行多个请求/响应周期。
默认端口: 8009
Copy PORT STATE SERVICE
8009/tcp open ajp13
如果 AJP 端口暴露,Tomcat 可能会受到 Ghostcat 漏洞的影响。这里有一个 exploit 可以利用这个问题。
Ghostcat 是一个 LFI 漏洞,但有些限制:只能提取来自特定路径的文件。尽管如此,这仍然可能包括像 WEB-INF/web.xml
这样的文件,这可能会泄露重要信息,如 Tomcat 界面的凭据,具体取决于服务器的设置。
在 9.0.31、8.5.51 和 7.0.100 或更高版本中已修复此问题。
Enumeration
Automatic
Copy nmap -sV --script ajp-auth,ajp-headers,ajp-methods,ajp-request -n -p 8009 < I P >
AJP 代理
Nginx 反向代理与 AJP
查看 Docker 化版本
当我们遇到一个开放的 AJP 代理端口 (8009 TCP) 时,我们可以使用带有 ajp_module
的 Nginx 访问“隐藏”的 Tomcat 管理员。这可以通过编译 Nginx 源代码并添加所需模块来完成,如下所示:
使用 ajp_module
编译 Nginx 源代码。
Copy # Download Nginx code
wget https://nginx.org/download/nginx-1.21.3.tar.gz
tar -xzvf nginx-1.21.3.tar.gz
# Compile Nginx source code with the ajp module
git clone https://github.com/dvershinin/nginx_ajp_module.git
cd nginx-1.21.3
sudo apt install libpcre3-dev
./configure --add-module=`pwd`/../nginx_ajp_module --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules
make
sudo make install
nginx -V
将整个 server
块注释掉,并在 /etc/nginx/conf/nginx.conf
的 http
块中附加以下行。
Copy upstream tomcats {
server <TARGET_SERVER>:8009;
keepalive 10;
}
server {
listen 80;
location / {
ajp_keep_conn on;
ajp_pass tomcats;
}
}
启动 Nginx 并通过向本地主机发出 cURL 请求来检查一切是否正常工作。
Copy sudo nginx
curl http://127.0.0.1:80
<! DOCTYPE html >
< html lang = "en" >
< head >
< meta charset = "UTF-8" />
< title >Apache Tomcat/X.X.XX</ title >
< link href = "favicon.ico" rel = "icon" type = "image/x-icon" />
< link href = "favicon.ico" rel = "shortcut icon" type = "image/x-icon" />
< link href = "tomcat.css" rel = "stylesheet" type = "text/css" />
</ headas
<body>
< div id = "wrapper" >
< div id = "navigation" class = "curved container" >
< span id = "nav-home" >< a href = "https://tomcat.apache.org/" >Home</ a ></ span >
< span id = "nav-hosts" >< a href = "/docs/" >Documentation</ a ></ span >
< span id = "nav-config" >< a href = "/docs/config/" >Configuration</ a ></ span >
< span id = "nav-examples" >< a href = "/examples/" >Examples</ a ></ span >
< span id = "nav-wiki" >< a href = "https://wiki.apache.org/tomcat/FrontPage" >Wiki</ a ></ span >
< span id = "nav-lists" >< a href = "https://tomcat.apache.org/lists.html" >Mailing Lists</ a ></ span >
< span id = "nav-help" >< a href = "https://tomcat.apache.org/findhelp.html" >Find Help</ a ></ span >
< br class = "separator" />
</ div >
< div id = "asf-box" >
< h1 >Apache Tomcat/X.X.XX</ h1 >
</ div >
< div id = "upper" class = "curved container" >
< div id = "congrats" class = "curved container" >
< h2 >If you're seeing this, you've successfully installed Tomcat. Congratulations!</ h2 >
< SNIP >
Nginx Docker化版本
Copy git clone https://github.com/ScribblerCoder/nginx-ajp-docker
cd nginx-ajp-docker
将 nginx.conf
中的 TARGET-IP
替换为 AJP IP,然后构建并运行。
Copy docker build . -t nginx-ajp-proxy
docker run -it --rm -p 80:80 nginx-ajp-proxy
Apache AJP Proxy
遇到一个开放的8009端口而没有其他可访问的网络端口是很少见的。然而,仍然可以使用Metasploit 进行利用。通过将Apache 作为代理,可以将请求重定向到8009端口上的Tomcat 。
Copy sudo apt-get install libapache2-mod-jk
sudo vim /etc/apache2/apache2.conf # append the following line to the config
Include ajp.conf
sudo vim /etc/apache2/ajp.conf # create the following file, change HOST to the target address
ProxyRequests Off
< Proxy *>
Order deny,allow
Deny from all
Allow from localhost
< /Proxy >
ProxyPass / ajp://HOST:8009/
ProxyPassReverse / ajp://HOST:8009/
sudo a2enmod proxy_http
sudo a2enmod proxy_ajp
sudo systemctl restart apache2
此设置由于AJP协议的二进制特性 ,提供了绕过入侵检测和防御系统(IDS/IPS)的潜力,尽管这一能力尚未得到验证。通过将常规的Metasploit Tomcat漏洞利用指向127.0.0.1:80
,您可以有效地控制目标系统。
Copy msf exploit ( tomcat_mgr_deploy ) > show options
参考文献
加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解
参与深入探讨黑客的刺激与挑战的内容
实时黑客新闻
通过实时新闻和见解,跟上快速变化的黑客世界
最新公告
了解最新的漏洞赏金发布和重要平台更新
加入我们 Discord ,今天就开始与顶级黑客合作!