Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

cgjil2023-09-20 7:07

Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

漏洞描述

Ghostcat是Chaitin Tech安全研究员发现的Tomcat中的一个严重漏洞,由于Tomcat AJP协议中的缺陷,攻击者可以读取或包含Tomcat的Webapp目录中的任何文件。例如,攻击者可以读取 Web 应用配置文件或源代码。此外,如果目标Web应用具有文件上传功能,攻击者可以通过Ghostcat漏洞利用文件包含漏洞在目标主机上执行恶意代码。

漏洞影响

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建
复制代码 
访问页面
http://10.9.75.198:8080/
漏洞复现
复制代码 
找到要运行的文件
cd tools/apache-tomcat/CNVD-2020-10487-Tomcat-Ajp-lfi
复制代码 
读取文件:
python2 "CNVD-2020-10487-Tomcat-Ajp-lfi.py" -p 8009 -f /WEB-INF/web.xml 10.9.75.198
相关推荐
q***2511 小时前
Windows操作系统部署Tomcat详细讲解
java·windows·tomcat
8***a8155 小时前
从0到1部署Tomcat和添加servlet(IDEA2024最新版详细教程)
hive·servlet·tomcat
O***P5715 小时前
记录 idea 启动 tomcat 控制台输出乱码问题解决
java·tomcat·intellij-idea
2***c4355 小时前
解决 IntelliJ IDEA 中 Tomcat 日志乱码问题的详细指南
java·tomcat·intellij-idea
s***46985 小时前
linux 设置tomcat开机启动
linux·运维·tomcat
r***F2625 小时前
若依部署Nginx和Tomcat
运维·nginx·tomcat
D***776511 小时前
适用于IntelliJ IDEA 2024.1.2部署Tomcat的完整方法,以及笔者踩的坑,避免高血压,保姆级教程
java·tomcat·intellij-idea
q***062919 小时前
Tomcat的升级
java·tomcat
听风吟丶20 小时前
MyBatis 深度实战:从基础映射到企业级性能优化
java·tomcat
q***95221 天前
Tomcat下载,安装,配置终极版(2024)
java·tomcat
热门推荐
01GitHub 镜像站点02【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连03BongoCat - 跨平台键盘猫动画工具04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Linux下V2Ray安装配置指南07Labelme从安装到标注:零基础完整指南08Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南09全球最强模型Grok4,国内已可免费使用!(附教程)10Gemini 3.0 Pro Preview 实测报告