8009 - Pentesting Apache JServ Protocol (AJP)

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 分享黑客技巧。

加入 HackenProof Discord 服务器，与经验丰富的黑客和漏洞赏金猎人交流！

黑客见解 参与深入探讨黑客的刺激与挑战的内容

实时黑客新闻 通过实时新闻和见解，跟上快速变化的黑客世界

最新公告 了解最新的漏洞赏金计划和重要平台更新

今天就加入我们的 Discord，与顶尖黑客开始合作吧！

基本信息

来自 https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/

AJP 是一种线协议。它是 HTTP 协议的优化版本，允许独立的网络服务器如 Apache 与 Tomcat 通信。从历史上看，Apache 在提供静态内容方面比 Tomcat 快得多。这个想法是让 Apache 在可能的情况下提供静态内容，但将请求代理到 Tomcat 以获取与 Tomcat 相关的内容。

也很有趣：

ajp13 协议是面向数据包的。出于性能原因，显然选择了二进制格式而不是更易读的纯文本。网络服务器通过 TCP 连接与 servlet 容器通信。为了减少创建套接字的昂贵过程，网络服务器将尝试保持与 servlet 容器的持久 TCP 连接，并重用一个连接进行多个请求/响应周期。

默认端口： 8009

PORT     STATE SERVICE
8009/tcp open  ajp13

CVE-2020-1938 'Ghostcat'

这是一个LFI漏洞，允许获取一些文件，如WEB-INF/web.xml，其中包含凭据。这是一个利用该漏洞的攻击，AJP暴露的端口可能会受到影响。

修补版本为9.0.31及以上、8.5.51及以上和7.0.100及以上。

Enumeration

Automatic

nmap -sV --script ajp-auth,ajp-headers,ajp-methods,ajp-request -n -p 8009 <IP>

暴力破解

AJP 代理

Nginx 反向代理 + AJP

(查看 Docker 化版本)

可以通过使用 Nginx ajp_module apache 模块与开放的 AJP 代理端口 (8009 TCP) 进行通信，并从该端口访问 Tomcat 管理器，这最终可能导致在易受攻击的服务器上实现 RCE。

从 https://nginx.org/en/download.html 开始下载 Nginx，然后使用 ajp 模块进行编译：

# Compile Nginx with the ajp module
git clone https://github.com/dvershinin/nginx_ajp_module.git
cd nginx-version
sudo apt install libpcre3-dev
./configure --add-module=`pwd`/../nginx_ajp_module --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules
make
sudo make install
nginx -V

然后，注释掉 server 块，并在 /etc/nginx/conf/nginx.conf 的 http 块中添加以下内容。

upstream tomcats {
server <TARGET_SERVER>:8009;
keepalive 10;
}
server {
listen 80;
location / {
ajp_keep_conn on;
ajp_pass tomcats;
}
}

最后，启动 nginx (sudo nginx)，并通过访问 http://127.0.0.1 检查它是否正常工作。

Nginx Docker化版本

git clone https://github.com/ScribblerCoder/nginx-ajp-docker
cd nginx-ajp-docker

将 nginx.conf 中的 TARGET-IP 替换为 AJP IP，然后构建并运行。

docker build . -t nginx-ajp-proxy
docker run -it --rm -p 80:80 nginx-ajp-proxy

Apache AJP Proxy

也可以使用Apache AJP proxy来访问该端口，而不是Nginx。

References

https://github.com/yaoweibin/nginx_ajp_module

加入HackenProof Discord服务器，与经验丰富的黑客和漏洞赏金猎人交流！

Hacking Insights 参与深入探讨黑客的刺激与挑战的内容

Real-Time Hack News 通过实时新闻和见解，保持对快速变化的黑客世界的了解

Latest Announcements 及时了解最新的漏洞赏金发布和重要平台更新

Join us on Discord并立即与顶级黑客合作！

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Previous6379 - Pentesting Redis Next8086 - Pentesting InfluxDB

Last updated 1 day ago