AJP13漏洞利用

Bertha 。 2022-06-06 05:53 621阅读 0赞

**前言**

平时学习过程中使用nmap扫描目标服务器或者C段的时候经常会发现8009端口的AJP13服务，一直没有很在意这个服务是干嘛的。直到遇见一个服务器没有开放其他多余的端口情况下迫不得已要弄清楚，开放的这个服务是干什么的，MSF下的脚本又使用不方便功能单一，所以就有了这个文章。

**AJP13服务简介**

AJP13是定向包协议。因为性能原因，使用二进制格式来传输可读性文本。AJP协议：WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费，WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接，对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求，在请求处理循环结束之前不会在分配。换句话说，在连接上，请求不是多元的。这个是连接两端的编码变得容易，虽然这导致在一时刻会有很多连接。（来自百度百科）

**本地环境搭建**

首先我们要在本地搭建一个tomcat和Apache的一个环境来运行mod\_jk插件，这里我选择的是WATMServer当然大家在做实验的时候也可以选择自己顺手的环境，下面我们就开始演示环境的配置和连接一个AJP13服务端口。

首先，在Apache安装目录下找到conf/httpd.conf文件，以文本编辑器打开。去掉以下文本前的注释符(\#)以便让Apache在启动时自动加载代理(proxy)模块。

<table> 
 <tbody> 
 <tr> 
 <td style="border-width:1px;border-style:solid;">LoadModule&nbsp;proxy_module&nbsp;modules/mod_proxy.soLoadModule&nbsp;proxy_ajp_module&nbsp;modules/mod_proxy_ajp.soLoadModule&nbsp;proxy_balancer_module&nbsp;modules/mod_proxy_balancer.soLoadModule&nbsp;proxy_connect_module&nbsp;modules/mod_proxy_connect.so&nbsp;&nbsp;&nbsp;&nbsp;LoadModule&nbsp;proxy_ftp_module&nbsp;modules/mod_proxy_ftp.so&nbsp;&nbsp;&nbsp;&nbsp;LoadModule&nbsp;proxy_http_module&nbsp;modules/mod_proxy_http.so&nbsp;&nbsp;&nbsp;</td> 
 </tr> 
 </tbody> 
</table>

向下拉动文档找到节点，在DirectoryIndex index.html后加上index.jsp，这一步只是为了待会配置完tomcat后能看到小猫首页，可以不做。

继续下拉文档找到Include conf/extra/httpd-vhosts.conf，去掉前面的注释符。

用文本编辑器打开conf/extra/httpd-vhosts.conf，配置虚拟站点，在最下面加上

<table> 
 <tbody> 
 <tr> 
 <td style="border-width:1px;border-style:solid;">&lt;VirtualHost *:80&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerAdmin 2324@qq.com&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerName 127.0.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerAlias localhost&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ProxyPass / balancer://cluster/&nbsp;stickysession=jsessionid nofailover=On&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ProxyPassReverse /balancer://cluster/&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ErrorLog "logs/lbtest-error.log"&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CustomLog "logs/lbtest-access.log" common&nbsp;&nbsp;&nbsp;&nbsp; &lt;/VirtualHost&gt;</td> 
 </tr> 
 </tbody> 
</table>

这里balancer://是告诉Apache需要进行负载均衡的代理，后面的cluster是集群名，可以随意取，两个日志引擎 ErrorLog负责记录错误，CustomLog负责记录所有的http访问以及返回状态，日志名可以自己取，笔者取为lbtest。httpd- vhosts.conf配置完毕，回到httpd.conf，在文档最下面加上

<table> 
 <tbody> 
 <tr> 
 <td style="border-width:1px;border-style:solid;">&nbsp;ProxyRequests&nbsp;Off&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;proxy&nbsp;balancer://cluster&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BalancerMember&nbsp;ajp://【目标IP地址】:8009&nbsp;loadfactor=1&nbsp;route=jvm1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;BalancerMember&nbsp;ajp://【目标IP地址】:9009&nbsp;loadfactor=1&nbsp;route=jvm2&nbsp;&nbsp;&nbsp;&lt;/proxy&gt;</td> 
 </tr> 
 </tbody> 
</table>

一番设置会后，重启Apache和tomcat服务后链接本地成功的截图如下，根据不同的服务器配置不一样，开放的WEB服务可能也不一样，所以在常见WEB服务都关闭的情况下，还是值得花时间尝试连接ajp一下的。

![Center][]

**利用实例**

首先我们使用NMAP找到了一台开放了ajp13服务的一台服务器：

![Center 1][]

![Center 2][]

我们在本地环境里面配置好配置文件进行连接：

![Center 3][]

然后我们顺利的通过本地jk协议转换插件连接上了远程的ajp13服务：

![Center 4][]

我们通过弱口令登录了后台并且通过部署war包获得了一个webshell（别问我怎么知道账号密码的）：

![Center 5][]

![Center 6][]

看一下本地和远程的IP端口链接：

![Center 7][]

最后大家看明白了没有呢?喜欢安全的朋友或没有看明白的可以留言哦。

![Center 8][]

![Center 9][]

[Center]: /images/20220606/2a644fcb48494fa687b0fbf26a426ade.png
[Center 1]: /images/20220606/8a4e21346df04970935bedeab518b6a9.png
[Center 2]: /images/20220606/e8e77e0c670f4d5d884bcc3ee16300f7.png
[Center 3]: /images/20220606/905fc4cb128040a4a06d500374cc7bb6.png
[Center 4]: /images/20220606/935ed7e102f0437ea6c3424463f6c371.png
[Center 5]: /images/20220606/3c65a9579dd44943aedbc989fcf285fb.png
[Center 6]: /images/20220606/3d30bbd6984d4684b9f2fd49f408540e.png
[Center 7]: /images/20220606/b6f760caf1fa463f9987a3ece38b5809.png
[Center 8]: /images/20220606/64f489e47b2c4e38a7e3f46ae15e0a43.png
[Center 9]: /images/20220606/76003ca261994fe69fb636643c0e7117.png