Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

cgjil2023-09-20 7:07

Aapache Tomcat AJP __ 文件包含漏洞 __ CVE-2020-1938

漏洞描述

Ghostcat是Chaitin Tech安全研究员发现的Tomcat中的一个严重漏洞,由于Tomcat AJP协议中的缺陷,攻击者可以读取或包含Tomcat的Webapp目录中的任何文件。例如,攻击者可以读取 Web 应用配置文件或源代码。此外,如果目标Web应用具有文件上传功能,攻击者可以通过Ghostcat漏洞利用文件包含漏洞在目标主机上执行恶意代码。

漏洞影响

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建
复制代码 
访问页面
http://10.9.75.198:8080/
漏洞复现
复制代码 
找到要运行的文件
cd tools/apache-tomcat/CNVD-2020-10487-Tomcat-Ajp-lfi
复制代码 
读取文件:
python2 "CNVD-2020-10487-Tomcat-Ajp-lfi.py" -p 8009 -f /WEB-INF/web.xml 10.9.75.198
相关推荐
程序员老徐2 小时前
Tomcat源码分析二(Tomcat启动源码分析)
java·tomcat·firefox
大猫和小黄3 小时前
Tomcat vs Undertow 全面对比
java·tomcat
虾说羊4 小时前
ssm项目本地部署
java·tomcat
while(1){yan}1 天前
图书管理系统(超详细版)
spring boot·spring·java-ee·tomcat·log4j·maven·mybatis
oMcLin1 天前
如何在 Debian 11 上配置并调优 Tomcat 应用服务器,支持高并发 Java 应用的流畅运行
java·tomcat·debian
计算机毕设指导61 天前
基于微信小程序的直播带货商品数据分析系统【源码文末联系】
java·spring boot·微信小程序·小程序·tomcat·maven·intellij-idea
刘一说3 天前
2026年Java技术栈全景图:从Web容器到云原生的深度选型指南(附避坑指南)
java·前端·spring boot·后端·云原生·tomcat·mybatis
计算机毕设指导63 天前
基于微信小程序的烧烤店点餐和结账系统【源码文末联系】
java·spring·微信小程序·小程序·tomcat·maven·intellij-idea
计算机毕设指导63 天前
基于微信小程序的养老服务系统【源码文末联系】
java·spring boot·微信小程序·小程序·tomcat·maven·intellij-idea
计算机毕设指导64 天前
基于微信小程序的扶贫助农系统【源码文末联系】
java·spring boot·后端·微信小程序·小程序·tomcat·maven
热门推荐
01GitHub 镜像站点02安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)03Labelme从安装到标注:零基础完整指南04Linux下V2Ray安装配置指南05【踩坑笔记】50系显卡适配的 PyTorch 安装06手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!07jdk21下载、安装(Windows、Linux、macOS)08GitLab 零基础入门指南:从安装到项目管理全流程09Opencode CLI 安装成功,但是启动失败10UV安装并设置国内源