热门标签
热门文章
- 12022年5月、11月网络工程师真题详解_快速获得lun在某时刻完整数据拷贝
- 2java markdown协作_课外资源 - 基于Java实现的多用户同步MarkDown编辑器
- 3网络安全人才缺口巨大,现在网安工程师能挣多少钱?_网络安全工程师挣钱吗
- 4Android AIDL 实现两个APP之间的跨进程通信实例_android 两个app类调用
- 5python大一基础题_Python 基础练习题
- 6java计算机毕业设计基于安卓Android/微信小程序的在线装修预定系统APP_基于安卓的家装erp系统设计
- 7使用GitHub API 查询开源项目信息
- 8Mac 系统安装maven_mac 安装 maven
- 9【强化学习】PPO算法求解倒立摆问题 + Pytorch代码实战_ppo算法代码
- 10Element-UI:el-table样式修改_el-table 样式修改
当前位置: article > 正文
apache-tomcat_AJP_lfi_CVE-2020-1938_tomcat 漏洞扫描
作者:繁依Fanyi0 | 2024-03-04 06:51:32
赞
踩
tomcat 漏洞扫描
Apache-Tomcat_AJP_ Local File Inclusion_CVE-2020-1938
| 说明 | 内容 |
|---|---|
| 漏洞编号 | CVE-2020-1938 |
| 漏洞名称 | Aapache Tomcat AJP 文件包含漏洞 |
| 漏洞评级 | 高危 |
| 影响范围 | |
| 漏洞描述 | 由于 Tomcat AJP 协议设计上存在缺陷,攻击者可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件 |
| 修复方案 | 升级 |
漏洞描述
Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。
Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
漏洞等级
高危
影响版本
- Apache Tomcat AJP
漏洞复现
基础环境
| 组件 | 版本 |
|---|---|
| OS | kali-linux |
| Web Server | chrome |
| Apache Tomcat | 9.0.30 |
漏洞扫描
可以使用nuclei进行扫描
./nuclei -u 192.168.117.163
- 1
漏洞验证
使用CNVD-2020-10487-Tomcat-Ajp-lfi进行漏洞验证
-
拉取环境
-
使用这个python文件进行验证
python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.117.163 -p 8009 -f WEB-INF/web.xml- 1
漏洞挖掘
网络测绘
Apache Tomcat AJP
- 1
修复建议
无
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/186758?site
推荐阅读
相关标签
