Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

cgjil2023-09-20 7:07

Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

漏洞描述

Ghostcat是Chaitin Tech安全研究员发现的Tomcat中的一个严重漏洞,由于Tomcat AJP协议中的缺陷,攻击者可以读取或包含Tomcat的Webapp目录中的任何文件。例如,攻击者可以读取 Web 应用配置文件或源代码。此外,如果目标Web应用具有文件上传功能,攻击者可以通过Ghostcat漏洞利用文件包含漏洞在目标主机上执行恶意代码。

漏洞影响

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建
复制代码 
访问页面
http://10.9.75.198:8080/
漏洞复现
复制代码 
找到要运行的文件
cd tools/apache-tomcat/CNVD-2020-10487-Tomcat-Ajp-lfi
复制代码 
读取文件:
python2 "CNVD-2020-10487-Tomcat-Ajp-lfi.py" -p 8009 -f /WEB-INF/web.xml 10.9.75.198
相关推荐
不吃香菜学java13 小时前
苍穹外卖-新增套餐
java·spring boot·spring·tomcat·maven·mybatis
爱人间16 小时前
apache-tomcat-8.5.72启动控制台乱码解决方案
java·tomcat·apache
xiufeia16 小时前
JMeter
java·jmeter·tomcat·高并发
额12917 小时前
Ubuntu 反向代理/负载均衡 centos7/8 tomcat服务更改
java·centos·tomcat
卓怡学长1 天前
m289在线交友系统
java·spring·tomcat·maven·intellij-idea·hibernate
不吃香菜学java2 天前
苍穹外卖-删除菜品
java·spring boot·spring·tomcat·log4j·maven
秦渝兴2 天前
从手工高可用到全容器化:我的 Keepalived+Nginx+Tomcat+MySQL 项目迁移实战
linux·运维·mysql·nginx·容器·tomcat
二月夜2 天前
Vue项目打包为WAR文件部署Tomcat完整指南
前端·vue.js·tomcat
美味蛋炒饭.2 天前
Tomcat 超详细入门教程(安装 + 目录 + 配置 + 部署 + 排错)
java·tomcat
希望永不加班2 天前
SpringBoot 内置服务器(Tomcat/Jetty/Undertow)切换
服务器·spring boot·后端·tomcat·jetty
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06【计算机一级WPSoffice】小黑课堂题库软件下载安装教程(2026年3月最新版)07Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南08UV安装并设置国内源09OpenClaw 使用和管理 MCP 完全指南10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)