Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

cgjil2023-09-20 7:07

Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

漏洞描述

Ghostcat是Chaitin Tech安全研究员发现的Tomcat中的一个严重漏洞,由于Tomcat AJP协议中的缺陷,攻击者可以读取或包含Tomcat的Webapp目录中的任何文件。例如,攻击者可以读取 Web 应用配置文件或源代码。此外,如果目标Web应用具有文件上传功能,攻击者可以通过Ghostcat漏洞利用文件包含漏洞在目标主机上执行恶意代码。

漏洞影响

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建
复制代码 
访问页面
http://10.9.75.198:8080/
漏洞复现
复制代码 
找到要运行的文件
cd tools/apache-tomcat/CNVD-2020-10487-Tomcat-Ajp-lfi
复制代码 
读取文件:
python2 "CNVD-2020-10487-Tomcat-Ajp-lfi.py" -p 8009 -f /WEB-INF/web.xml 10.9.75.198
相关推荐
222you17 小时前
Mybatis(1)
java·tomcat·mybatis
失因17 小时前
Docker 镜像结构与 Dockerfile 案例
运维·docker·云原生·容器·tomcat
yong999018 小时前
Linux安装JDK1.8 & tomcat & MariaDB(MySQL删减版)
linux·tomcat·mariadb
itachi-uchiha21 小时前
关于Tomcat的页面后台管理默认设置
java·tomcat·firefox
晨晖22 天前
将聚合工程的ssm项目部署到本地tomcat
java·tomcat
Z_z在努力2 天前
【杂类】理解 @Repository 和 Mapper 的关系
java·tomcat·mybatis
春生野草3 天前
部署项目到Tomcat
java·tomcat
安逸sgr3 天前
SpringMVC启动流程
java·jvm·spring·spring cloud·eclipse·tomcat·maven
Mr_Chester3 天前
mybatis OGNL+优雅处理简单逻辑
java·tomcat·mybatis
我登哥MVP4 天前
Apache Tomcat 详解
java·笔记·tomcat
热门推荐
01BongoCat - 跨平台键盘猫动画工具02两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答03智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践04GitHub 镜像站点052025羊城杯网络安全大赛 wp06UV安装并设置国内源07Linux下V2Ray安装配置指南08GitLab 零基础入门指南:从安装到项目管理全流程09Spring Boot 实现微信登录,So Easy !10Cursor Plan Mode:AI 终于知道先想后做了