# 8009 - Pentesting Apache JServ Protocol (AJP) {{#include ../banners/hacktricks-training.md}} ## 基本信息 来自 [https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/](https://diablohorn.com/2011/10/19/8009-the-forgotten-tomcat-port/) > AJP 是一种线协议。它是 HTTP 协议的优化版本,允许独立的 web 服务器如 [Apache](http://httpd.apache.org/) 与 Tomcat 通信。历史上,Apache 在提供静态内容方面比 Tomcat 快得多。这个想法是让 Apache 在可能的情况下提供静态内容,但将请求代理到 Tomcat 以获取与 Tomcat 相关的内容。 还有趣的是: > ajp13 协议是面向数据包的。出于性能原因,显然选择了二进制格式而不是更易读的纯文本。web 服务器通过 TCP 连接与 servlet 容器通信。为了减少创建套接字的昂贵过程,web 服务器将尝试保持与 servlet 容器的持久 TCP 连接,并重用一个连接进行多个请求/响应周期。 **默认端口:** 8009 ``` PORT STATE SERVICE 8009/tcp open ajp13 ``` ## CVE-2020-1938 ['Ghostcat'](https://www.chaitin.cn/en/ghostcat) 这是一个LFI漏洞,允许获取一些文件,如`WEB-INF/web.xml`,其中包含凭据。这是一个[exploit](https://www.exploit-db.com/exploits/48143),用于利用该漏洞,AJP暴露的端口可能会受到影响。 修补版本为9.0.31及以上、8.5.51和7.0.100。 ## Enumeration ### Automatic ```bash nmap -sV --script ajp-auth,ajp-headers,ajp-methods,ajp-request -n -p 8009 ``` ### [**暴力破解**](../generic-hacking/brute-force.md#ajp) ## AJP 代理 ### Nginx 反向代理 + AJP ([查看 Docker 化版本](8009-pentesting-apache-jserv-protocol-ajp.md#Dockerized-version)) 可以通过使用 Nginx `ajp_module` apache 模块与开放的 AJP 代理端口 (8009 TCP) 进行通信,并从该端口访问 Tomat Manager,这可能最终导致在易受攻击的服务器上实现 RCE。 - 从 [https://nginx.org/en/download.html](https://nginx.org/en/download.html) 开始下载 Nginx,然后使用 ajp 模块进行编译: ```bash # Compile Nginx with the ajp module git clone https://github.com/dvershinin/nginx_ajp_module.git cd nginx-version sudo apt install libpcre3-dev ./configure --add-module=`pwd`/../nginx_ajp_module --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules make sudo make install nginx -V ``` - 然后,注释掉 `server` 块,并在 `/etc/nginx/conf/nginx.conf` 的 `http` 块中添加以下内容。 ```json upstream tomcats { server :8009; keepalive 10; } server { listen 80; location / { ajp_keep_conn on; ajp_pass tomcats; } } ``` - 最后,启动 nginx (`sudo nginx`),并通过访问 `http://127.0.0.1` 检查它是否正常工作。 ### Nginx Docker化版本 ```bash git clone https://github.com/ScribblerCoder/nginx-ajp-docker cd nginx-ajp-docker ``` 将 `nginx.conf` 中的 `TARGET-IP` 替换为 AJP IP,然后构建并运行。 ```bash docker build . -t nginx-ajp-proxy docker run -it --rm -p 80:80 nginx-ajp-proxy ``` ### Apache AJP 代理 也可以使用 **Apache AJP 代理** 来访问该端口,而不是 **Nginx**。 ## 参考 - [https://github.com/yaoweibin/nginx_ajp_module](https://github.com/yaoweibin/nginx_ajp_module) {{#include ../banners/hacktricks-training.md}}