hacktricks/network-services-pentesting/8009-pentesting-apache-jserv-protocol-ajp.md

# 8009 - Testowanie penetracyjne protokołu Apache JServ (AJP)

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>

Dołącz do serwera [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy), aby komunikować się z doświadczonymi hakerami i łowcami nagród za błędy!

**Spostrzeżenia dotyczące hakerstwa**\
Zajmuj się treściami, które zagłębiają się w emocje i wyzwania hakerstwa

**Aktualności na żywo z hakerstwa**\
Bądź na bieżąco z szybkim tempem świata hakerstwa dzięki aktualnym wiadomościom i spostrzeżeniom

**Najnowsze ogłoszenia**\
Bądź na bieżąco z najnowszymi programami bug bounty i ważnymi aktualizacjami platformy

**Dołącz do nas na** [**Discordzie**](https://discord.com/invite/N3FrSbmwdy) i zacznij współpracować z najlepszymi hakerami już dziś!

## Podstawowe informacje

Źródło: [https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/](https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/)

> AJP to protokół przesyłania danych. Jest to zoptymalizowana wersja protokołu HTTP, która umożliwia samodzielny serwer WWW, tak jak [Apache](http://httpd.apache.org/), komunikację z Tomcatem. Historycznie rzecz biorąc, Apache był znacznie szybszy od Tomcata w obsłudze treści statycznych. Pomysł polega na tym, aby pozwolić Apache na obsługę treści statycznych, jeśli to możliwe, ale przekierować żądanie do Tomcata w przypadku treści związanych z Tomcatem.

Również interesujące:

> Protokół ajp13 jest oparty na pakietach. Format binarny został prawdopodobnie wybrany z powodów wydajnościowych, zamiast bardziej czytelnego tekstu. Serwer WWW komunikuje się z kontenerem serwletów za pośrednictwem połączeń TCP. Aby ograniczyć kosztowny proces tworzenia gniazda, serwer WWW będzie próbował utrzymać trwałe połączenia TCP z kontenerem serwletów i ponownie używać połączenia dla wielu cykli żądanie/odpowiedź.

**Domyślny port:** 8009
```
PORT     STATE SERVICE
8009/tcp open  ajp13
```
## CVE-2020-1938 ['Ghostcat'](https://www.chaitin.cn/en/ghostcat)

Jeśli port AJP jest wystawiony, Tomcat może być podatny na podatność Ghostcat. Oto [exploit](https://www.exploit-db.com/exploits/48143), który działa w przypadku tego problemu.

Ghostcat to podatność LFI, ale nieco ograniczona: można pobrać tylko pliki z określonej ścieżki. Niemniej jednak, może to obejmować pliki takie jak `WEB-INF/web.xml`, które mogą wyciekać ważne informacje, takie jak poświadczenia dla interfejsu Tomcat, w zależności od konfiguracji serwera.

Zaktualizowane wersje 9.0.31, 8.5.51 i 7.0.100 lub nowsze naprawiły ten problem.

## Wyliczanie

### Automatyczne
```bash
nmap -sV --script ajp-auth,ajp-headers,ajp-methods,ajp-request -n -p 8009 <IP>
```
### [**Brute force**](../generic-methodologies-and-resources/brute-force.md#ajp)

## AJP Proxy

### Nginx Reverse Proxy & AJP

[Sprawdź wersję w Dockerze](#Dockerized-version)

Gdy natrafimy na otwarty port AJP proxy (8009 TCP), możemy użyć Nginx z modułem `ajp_module`, aby uzyskać dostęp do "ukrytego" Tomcat Managera. Można to zrobić, kompilując kod źródłowy Nginx i dodając wymagany moduł, jak następuje:

* Pobierz kod źródłowy Nginx
* Pobierz wymagany moduł
* Skompiluj kod źródłowy Nginx z modułem `ajp_module`.
* Utwórz plik konfiguracyjny wskazujący na port AJP.
```bash
# Download Nginx code
wget https://nginx.org/download/nginx-1.21.3.tar.gz
tar -xzvf nginx-1.21.3.tar.gz

# Compile Nginx source code with the ajp module
git clone https://github.com/dvershinin/nginx_ajp_module.git
cd nginx-1.21.3
sudo apt install libpcre3-dev
./configure --add-module=`pwd`/../nginx_ajp_module --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules
make
sudo make install
nginx -V
```
Zakomentuj cały blok `server` i dodaj następujące linie wewnątrz bloku `http` w pliku `/etc/nginx/conf/nginx.conf`.
```shell-session
upstream tomcats {
server <TARGET_SERVER>:8009;
keepalive 10;
}
server {
listen 80;
location / {
ajp_keep_conn on;
ajp_pass tomcats;
}
}
```
Uruchom Nginx i sprawdź, czy wszystko działa poprawnie, wysyłając żądanie cURL do lokalnego hosta.
```html
sudo nginx
curl http://127.0.0.1:80

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<title>Apache Tomcat/X.X.XX</title>
<link href="favicon.ico" rel="icon" type="image/x-icon" />
<link href="favicon.ico" rel="shortcut icon" type="image/x-icon" />
<link href="tomcat.css" rel="stylesheet" type="text/css" />
</headas
<body>
<div id="wrapper">
<div id="navigation" class="curved container">
<span id="nav-home"><a href="https://tomcat.apache.org/">Home</a></span>
<span id="nav-hosts"><a href="/docs/">Documentation</a></span>
<span id="nav-config"><a href="/docs/config/">Configuration</a></span>
<span id="nav-examples"><a href="/examples/">Examples</a></span>
<span id="nav-wiki"><a href="https://wiki.apache.org/tomcat/FrontPage">Wiki</a></span>
<span id="nav-lists"><a href="https://tomcat.apache.org/lists.html">Mailing Lists</a></span>
<span id="nav-help"><a href="https://tomcat.apache.org/findhelp.html">Find Help</a></span>
<br class="separator" />
</div>
<div id="asf-box">
<h1>Apache Tomcat/X.X.XX</h1>
</div>
<div id="upper" class="curved container">
<div id="congrats" class="curved container">
<h2>If you're seeing this, you've successfully installed Tomcat. Congratulations!</h2>
<SNIP>
```
### Wersja Nginx w kontenerze Docker

Nginx jest popularnym serwerem HTTP i proxy reverse-proxy. Może być uruchamiany w kontenerze Docker, co ułatwia jego wdrażanie i skalowanie. Poniżej przedstawiono przykładowy plik Dockerfile, który pozwala na uruchomienie Nginx w kontenerze Docker.

```dockerfile
FROM nginx:latest
COPY nginx.conf /etc/nginx/nginx.conf
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]
```

W powyższym pliku Dockerfile używamy obrazu `nginx:latest` jako podstawy. Następnie kopiujemy plik konfiguracyjny `nginx.conf` do katalogu `/etc/nginx/nginx.conf` w kontenerze. Używamy również polecenia `EXPOSE` do odsłonięcia portu 80, który jest domyślnym portem HTTP dla Nginx. Na koniec, w poleceniu `CMD`, uruchamiamy Nginx w trybie demona.

Aby zbudować obraz Docker z powyższym plikiem Dockerfile, wykonaj polecenie:

```bash
docker build -t nginx-dockerized .
```

Następnie, aby uruchomić kontener z obrazem Nginx, wykonaj polecenie:

```bash
docker run -d -p 80:80 nginx-dockerized
```

Teraz Nginx będzie dostępny na porcie 80 na hoście Docker. Możesz dostosować plik konfiguracyjny `nginx.conf` według własnych potrzeb, aby skonfigurować Nginx zgodnie z wymaganiami Twojej aplikacji.
```bash
git clone https://github.com/ScribblerCoder/nginx-ajp-docker
cd nginx-ajp-docker
```
Zamień `TARGET-IP` w pliku `nginx.conf` na adres IP AJP, a następnie skompiluj i uruchom.
``` bash
docker build . -t nginx-ajp-proxy
docker run -it --rm -p 80:80 nginx-ajp-proxy
```
### Proxy Apache AJP

Napotkanie otwartego portu 8009 bez innych dostępnych portów internetowych jest rzadkie. Jednak wciąż istnieje możliwość jego wykorzystania za pomocą **Metasploit**. Korzystając z **Apache** jako proxy, żądania mogą być przekierowywane do **Tomcat** na porcie 8009.
```bash
sudo apt-get install libapache2-mod-jk
sudo vim /etc/apache2/apache2.conf # append the following line to the config
Include ajp.conf
sudo vim /etc/apache2/ajp.conf     # create the following file, change HOST to the target address
ProxyRequests Off
<Proxy *>
Order deny,allow
Deny from all
Allow from localhost
</Proxy>
ProxyPass       / ajp://HOST:8009/
ProxyPassReverse    / ajp://HOST:8009/
sudo a2enmod proxy_http
sudo a2enmod proxy_ajp
sudo systemctl restart apache2
```
Ta konfiguracja oferuje potencjał do obejścia systemów wykrywania i zapobiegania włamaniom (IDS/IPS) ze względu na binarną naturę protokołu AJP, chociaż ta zdolność nie została potwierdzona. Przekierowując zwykłe narzędzie Metasploit Tomcat na `127.0.0.1:80`, można efektywnie przejąć kontrolę nad docelowym systemem.
```bash
msf  exploit(tomcat_mgr_deploy) > show options
```
## Odwołania
* [https://github.com/yaoweibin/nginx_ajp_module](https://github.com/yaoweibin/nginx_ajp_module)
* [https://academy.hackthebox.com/module/145/section/1295](https://academy.hackthebox.com/module/145/section/1295)

<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>

Dołącz do serwera [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy), aby komunikować się z doświadczonymi hakerami i łowcami błędów!

**Wgląd w hakerstwo**\
Zajmuj się treściami, które zagłębiają się w emocje i wyzwania hakerstwa

**Aktualności na żywo z hakerstwa**\
Bądź na bieżąco z szybkim tempem świata hakerstwa dzięki aktualnym wiadomościom i wglądom

**Najnowsze ogłoszenia**\
Bądź na bieżąco z najnowszymi programami bug bounty i ważnymi aktualizacjami platformy

**Dołącz do nas na** [**Discordzie**](https://discord.com/invite/N3FrSbmwdy) i zacznij współpracować z najlepszymi hakerami już dziś!

<details>

<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>