专栏首页洛米唯熊Apache-Tomcat-Ajp漏洞(CVE-2020-1938)

Apache-Tomcat-Ajp漏洞(CVE-2020-1938)

0x00:前言

Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。

0x01:编号

CNVD-2020-10487

CVE-2020-1938

0x02:影响

Apache Tomcat = 6

7 <= Apache Tomcat < 7.0.100

8 <= Apache Tomcat < 8.5.51

9 <= Apache Tomcat < 9.0.31

0x03:演示

0x04:参考

1、国家信息安全漏洞共享平台-CNVD-2020-10487

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

2、referer:

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/

本文分享自微信公众号 - 洛米唯熊(luomiweixiong),作者:Jaky

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Burpsuite Pro 2020.1最新破解版

    Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都...

    洛米唯熊
  • 丢给你一个txt并同时获取你shell

    听闻很多人知道这个漏洞,但是有一部分人能复现成功,一部分人复现不出来。这里我就我自己的复现经历给大家演示一下。

    洛米唯熊
  • Burp Suite 2.1.05专业版本的破解与汉化

    2019年11月1日,PortSwigger官方发布了Burp Suite Professional 2.1.05最新版本,第一时间给大家分享Burp ...

    洛米唯熊
  • [TenserFlow学习笔记]——安装

    最近人工智能、深度学习、机器学习等词汇很是热闹,所以想进一步学习一下。不一定吃这口饭,但多了解一下没有坏处。接下来将学习到的一些知识点做一下记录。

    py3study
  • 01.golang hello world(sublime 安装配置汉化)

    qubianzhong
  • 创意网页排版设计和教程分享,打造 “视”不可挡的网页设计

    网页中超过95%以上的信息都是通过文字的形式呈现。 然而,页面文字并非毫无章法的随意呈现。事实上,更具可读性、视觉效果以及独特排版和布局的网页文本设计,更能吸引...

    奔跑的小鹿
  • vue2.0实现底部导航切换效果

     使用vue2.0写移动端的时候,经常会写底部导航效果,点击切换路由效果,实现图片和文字颜色切换。vue2.0也提供了很多ul框架供我们实现效果,今天就用原生的...

    小周sri的码农
  • 用shell脚本巧妙统计文件(r2笔记57天)

    在数据迁移的过程中,会产生大量的dump文件,需要对dump的文件情况进行一个简单清晰的管理,比如目录下的文件特别多,而且某些表比较大,对应的dump文件比较多...

    jeanron100
  • flask教程之模板视图

    {{ 和 }} 输出内容 {{title}}转义html {{title|safe}} 输出html

    老雷PHP全栈开发
  • CentOS中基于不同版本安装重复包的解决方案

    在更新 PHP 版本的时候,出现了NOKEY的错误提示后,暂时没有解决掉这个问题,于是就手动安装了php-mbstring...rpm  包的高版本,这样在接...

    拓荒者

扫码关注云+社区

领取腾讯云代金券