解决AJP漏洞操作记录

前言

最近Tomcat爆出AJP漏洞，升级对应版本的Tomcat是比较好的规避方法。本文将记录笔者在升级Tomcat 9.0.31时踩过的一些坑，以便大家能快速升级Tomcat。

本文只针对Tomcat 9.0.31版本的操作记录。

Tomcat受影响版本：

Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x

如果未使用AJP端口，或者Tomcat版本不在上面的范围内可以不考虑升级。

准备工具

Tomcat 9下载地址：https://tomcat.apache.org/dow...
检测漏洞工具下载链接：https://www.chaitin.cn/zh/gho...

操作记录

1. 部署Tomcat

首先解压/安装 Tomcat 9.0.31，直接运行是不会有问题，开启注释的AJP端口后就会启动失败。

<Connector protocol="AJP/1.3" address="::1" port="8009" redirectPort="8443" />

启动Tomcat就会有如下错误：

严重: Failed to start component [Connector[AJP/1.3-8009]]
org.apache.catalina.LifecycleException: 协议处理器启动失败
at org.apache.catalina.connector.Connector.startInternal(Connector.java:1038)
at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:183)
at org.apache.catalina.core.StandardService.startInternal(StandardService.java:438)
at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:183)
at org.apache.catalina.core.StandardServer.startInternal(StandardServer.java:930)
at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:183)
at org.apache.catalina.startup.Catalina.start(Catalina.java:633)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
at java.lang.reflect.Method.invoke(Method.java:498)
at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:343)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:474)
Caused by: java.lang.IllegalArgumentException: The AJP Connector is configured with secretRequired="true" but the secret attribute is either null or "". This combination is not valid.
at org.apache.coyote.ajp.AbstractAjpProtocol.start(AbstractAjpProtocol.java:264)
at org.apache.catalina.connector.Connector.startInternal(Connector.java:1035)
... 12 more`

根据错误提示，需要添加 secretRequired 和 secret 属性,如果设置 secretRequired="" 则可以不用添加 secret 属性，配置正确之后即可正常启动。

2. 运行检测工具

直接运行检测工具可查看相关命令，这里我们根据长亭的官方教程使用 servicescan --target ip:端口命令。

.\xray_windows_amd64.exe servicescan --target 127.0.0.1:8009

以Windows系统为例，使用命令行运行 xray_windows_amd64.exe
此时我的AJP配置如下：

    <Connector protocol="AJP/1.3" port="8009" redirectPort="8443" secretRequired=""/>

注：address="IP地址 部分情况需要添加 address 属性，否则使用 Apache 代理访问时可能会出现 503，比如电脑存在双网卡等。

运行结果：

如果出现[EEOR]则说明命令不正确。
此处为错误截图：

下图为存在AJP漏洞的检测结果：

3. 完善配置

长亭科技推荐配置

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR\_TOMCAT\_IP\_ADDRESS" secret="YOUR\_TOMCAT\_AJP\_SECRET" />

如果我们配置了 secret 属性，使用 Apache 代理访问服务就会出现403的情况，这个时候我们就需要在 Apache 的 workers.properties 文件中配置 secret 值。
例如 worker.xxx.secret = secret_value ,注意两边的值需要保持一致。
配置完后重启 Apache 服务即可正常访问。

再使用检测工具检测

检测结果如下：

此时检测结果状态码都是 403 ，同时 Apache 也能正常访问系统。

结尾：

如果通过 startup.bat 启动Tomcat出现乱码情况，只需要设置 conf 目录下 logging.properties 文件 java.util.logging.ConsoleHandler.encoding = UTF-8 为 GBK 编码即可。
以上就是笔者升级Tomcat 9.0.31所遇到的问题，特记录于此希望对大家有所帮助。
转载链接：https://segmentfault.com/a/1190000021838764?utm_source=tag-newest