专栏首页黑白安全Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。

Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

参考链接:

https://www.chaitin.cn/zh/ghostcat

https://www.cnvd.org.cn/webinfo/show/5415

https://mp.weixin.qq.com/s/D1hiKJpah3NhEBLwtTodsg

https://mp.weixin.qq.com/s/GzqLkwlIQi_i3AVIXn59FQ

漏洞环境

执行如下命令启动一个Tomcat 9.0.30:

docker-compose up -d

环境启动后,访问http://your-ip:8080即可查看tomcat默认页面,此时通过AJP协议的8009端口亦可访问Tomcat。

漏洞利用

利用官方网站在线测试:

利用如下工具均可测试漏洞:

https://github.com/chaitin/xray

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

    日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。 

    周俊辉
  • CVE-2020-1938:Apache Tomcat文件包含复现

    Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP ...

    周俊辉
  • 印度电信机构警告苹果:不接受监管就退出印度

    (环球网科技 记者 樊俊卿)过去几年里,iPhone在印度市场的份额在逐年扩大,一度成为印度年轻人追捧的品牌之一。这一现象引起了某些政府部门的“关注”。

    周俊辉
  • CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

    日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。

    墙角睡大觉
  • CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

    日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。 

    周俊辉
  • Tomcat Ghostcat漏洞复现及修复

    近日,长亭科技安全研究人员发现了一个存在于流行服务器Tomcat中的文件读取/包含漏洞,此漏洞命名为“幽灵猫”

    李俊鹏
  • IntelliJ IDEA 14 配置Tomcat8

           在网上找了找IntelliJ IDEA配置Tomcat的方法,发现大部分都显得有些过时,主要是我在配置的过程中出现了一下问题,耽误了很长的时间。现...

    Gaussic
  • Java Web入门基础之Tomcat

    可以这么理解Tomcat:开源的Web应用服务器,一般用于中小型系统和并发访问用户不是很多的情况下,是开发和调试JSP的首选。对于一个初学者来说,可以这样认为,...

    黄桂期
  • Tomcat服务器搭建及测试教程

    最近在学习Java web开发时,需要将项目发布到Tomcat服务器上去,所以在这里记录一下在window环境下搭建Tomcat服务器的基本教程。

    灰小猿
  • 从 0 开始手写一个Tomcat,7 步搞定!

    Tomcat,这只3脚猫,大学的时候就认识了,直到现在工作中,也常会和它打交道。这是一只神奇的猫,今天让我来抽象你,实现你!

    Java技术栈

扫码关注云+社区

领取腾讯云代金券