Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

cgjil2023-09-20 7:07

Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

漏洞描述

Ghostcat是Chaitin Tech安全研究员发现的Tomcat中的一个严重漏洞,由于Tomcat AJP协议中的缺陷,攻击者可以读取或包含Tomcat的Webapp目录中的任何文件。例如,攻击者可以读取 Web 应用配置文件或源代码。此外,如果目标Web应用具有文件上传功能,攻击者可以通过Ghostcat漏洞利用文件包含漏洞在目标主机上执行恶意代码。

漏洞影响

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建
复制代码 
访问页面
http://10.9.75.198:8080/
漏洞复现
复制代码 
找到要运行的文件
cd tools/apache-tomcat/CNVD-2020-10487-Tomcat-Ajp-lfi
复制代码 
读取文件:
python2 "CNVD-2020-10487-Tomcat-Ajp-lfi.py" -p 8009 -f /WEB-INF/web.xml 10.9.75.198
相关推荐
大大水瓶9 天前
Tomcat
java·tomcat
失重外太空啦9 天前
Tomcat
java·服务器·tomcat
屎到临头想搅便9 天前
TOMCAT
java·tomcat
微风起皱9 天前
企业级WEB应用服务器TOMCAT
java·前端·tomcat
天蓝不会忘记029 天前
lvs,haproxy,keepalived,nginx,tomcat介绍和实验
nginx·tomcat·lvs
unfeeling_9 天前
Tomcat实验
java·tomcat
红豆子不相思9 天前
Tomcat 环境搭建与集群实战
服务器·git·tomcat
fengtangjiang9 天前
国产操作系统安装tomcat
linux·运维·tomcat
nxb5569 天前
云原生 tomcat实验设定
java·tomcat
feng68_9 天前
Web应用服务器Tomcat
运维·前端·tomcat
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Window 10部署openclaw报错node.exe : npm error code 12805本地部署 OpenClaw + DeepSeek-R1 完全指南06小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)07OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录08OpenClaw优化飞书API 额度已耗尽问题09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10OpenClaw 飞书机器人不回复消息?3 小时踩坑总结