Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

cgjil2023-09-20 7:07

Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

漏洞描述

Ghostcat是Chaitin Tech安全研究员发现的Tomcat中的一个严重漏洞,由于Tomcat AJP协议中的缺陷,攻击者可以读取或包含Tomcat的Webapp目录中的任何文件。例如,攻击者可以读取 Web 应用配置文件或源代码。此外,如果目标Web应用具有文件上传功能,攻击者可以通过Ghostcat漏洞利用文件包含漏洞在目标主机上执行恶意代码。

漏洞影响

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建
复制代码 
访问页面
http://10.9.75.198:8080/
漏洞复现
复制代码 
找到要运行的文件
cd tools/apache-tomcat/CNVD-2020-10487-Tomcat-Ajp-lfi
复制代码 
读取文件:
python2 "CNVD-2020-10487-Tomcat-Ajp-lfi.py" -p 8009 -f /WEB-INF/web.xml 10.9.75.198
相关推荐
Evan芙7 小时前
搭建nexus服务,实现本地仓库、代理仓库
java·nginx·tomcat
Evan芙9 小时前
Tomcat内存机制以及按场景调优
java·tomcat
WZTTMoon12 小时前
Apache Tomcat 体系结构深度解析
java·tomcat·apache
Alsn8616 小时前
26.IDEA 专业版中创建简单的 Web 项目并打包部署到本地Tomcat 9
前端·tomcat·intellij-idea
总会落叶18 小时前
MyBatis XML映射配置与日志系统全解析
xml·tomcat·mybatis
Evan芙19 小时前
搭建 LNMT 架构并配置 Tomcat 日志管理与自动备份
java·架构·tomcat
一叶飘零_sweeeet1 天前
Tomcat 底层原理与实战全解析
tomcat
山风wind2 天前
Tomcat三步搭建局域网文件共享
java·tomcat
精神病不行计算机不上班2 天前
[Java Web]在IDEA中完整实现Servlet的示例
java·servlet·tomcat·html·intellij-idea·web
用户8307196840822 天前
Apache Tomcat 体系结构深度解析
java·tomcat
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04RedissonClient的配置解析05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07BongoCat - 跨平台键盘猫动画工具08Open-AutoGLM Windows 安装部署教程09jdk21下载、安装(Windows、Linux、macOS)10【AutoGLM部署】本地私有化部署AI手机Agent