Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

漏洞描述

Ghostcat是Chaitin Tech安全研究员发现的Tomcat中的一个严重漏洞,由于Tomcat AJP协议中的缺陷,攻击者可以读取或包含Tomcat的Webapp目录中的任何文件。例如,攻击者可以读取 Web 应用配置文件或源代码。此外,如果目标Web应用具有文件上传功能,攻击者可以通过Ghostcat漏洞利用文件包含漏洞在目标主机上执行恶意代码。

漏洞影响

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建
复制代码
访问页面
http://10.9.75.198:8080/
漏洞复现
复制代码
找到要运行的文件
cd tools/apache-tomcat/CNVD-2020-10487-Tomcat-Ajp-lfi
复制代码
读取文件:
python2 "CNVD-2020-10487-Tomcat-Ajp-lfi.py" -p 8009 -f /WEB-INF/web.xml 10.9.75.198 
相关推荐
pW3g3lLuu10 小时前
Tomcat线程模型与DeferredResult场景下的资源变化详解
java·tomcat
vx-Biye_Design17 天前
springboot安阳地区研学旅游服务小程序-计算机毕业设计源码12785
java·vue.js·windows·spring boot·tomcat·maven·mybatis
kakawzw18 天前
Tomcat源码笔记1——连接器(Tomcat4默认)
tomcat
2601_9618752419 天前
法考备考计划表|学习计划|资料已整理
java·开发语言·学习·eclipse·tomcat·c#·hibernate
极创信息20 天前
Linux挖矿病毒深度清理实战教程,从进程隐藏、Rootkit驻留到彻底根除
java·大数据·linux·运维·安全·tomcat·健康医疗
燕-孑20 天前
tomcat详解(基础到高级生产)
java·tomcat
摇滚侠20 天前
Mybatis 入门到项目实战 搭建 MyBatis 框架 01-14
java·tomcat·mybatis
摇滚侠20 天前
MyBatis 入门到项目实战 MyBatis 核心配置文件 15-19
java·tomcat·mybatis
北城以北888821 天前
虚拟机安装JDK,Tomcat,部署项目
java·开发语言·tomcat
逢君学术论文AI写作21 天前
Java第21课:JavaWeb入门——Tomcat+第一个Servlet
java·servlet·tomcat