如何解析Apache Tomcat文件包含CVE-2020-1938漏洞复现
发表于:2025-02-23 作者:千家信息网编辑
千家信息网最后更新 2025年02月23日,今天就跟大家聊聊有关如何解析Apache Tomcat文件包含CVE-2020-1938漏洞复现,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。
千家信息网最后更新 2025年02月23日如何解析Apache Tomcat文件包含CVE-2020-1938漏洞复现
0x01 简介 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 0x02 漏洞概述
公众号内回复"Tomcat安装包"获取安装包 首先确保Java环境已安装
将tomcat文件解压到你要安装的文件夹下,进入文件夹中的bin文件夹,使用cmd命令执行startup.bat文件,出现加载界面,待加载完成后在浏览器访问http://localhost:8080界面访问成功则说明tomcat安装成功。
首先启动apache tamcat服务 对其进行端口扫描发现8009,8080端口开启,证明有该漏洞。 下载好后进入该文件夹cmd命令执行并加上网址参数 ,poc为py2环境,命令为: 执行成功后可以看到成功访问到该文件。 0x06 修复方式
1、临时禁用AJP协议端口,在conf/server.xml配置文件中注释掉 2、配置ajp配置中的secretRequired跟secret属性来限制认证 3、官方下载最新版下载地址: 4、Github下载:
今天就跟大家聊聊有关如何解析Apache Tomcat文件包含CVE-2020-1938漏洞复现,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。
由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。
0x03 影响版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
0x04 环境搭建
0x05 漏洞复现
Poc1下载地址:
https://github.com/0nise/CVE-2020-1938
Poc2下载地址:
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
python ./CNVD-2020-10487-Tomcat-Ajp-lfi.py 本地ip -p 8009 -f WEB-INF/web.xml
https://tomcat.apache.org/download-70.cgihttps://tomcat.apache.org/download-80.cgihttps://tomcat.apache.org/download-90.cgi
https://github.com/apache/tomcat/releases
看完上述内容,你们对如何解析Apache Tomcat文件包含CVE-2020-1938漏洞复现有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注行业资讯频道,感谢大家的支持。
文件
服务
漏洞
成功
文件夹
服务器
端口
内容
命令
地址
环境
配置
界面
应用
影响
中小
中小型
公众
参数
后进
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
hs22刀片服务器手册
行政软件开发
九江正规服务器多少钱
中国联通oa软件开发公司
opcua服务器断开客户端
软件开发做企业界面
网络安全中心是干什么的
软件开发公司管理结构PPT
安徽红嘴欧网络技术有限公司
服务器软件管理员密码
溧阳租房网络安全
社区服务器组成
中国台湾开源软件开发信息推荐
怀化软件开发
高防独立服务器
2021 上海网络安全博览会
数据库技术发展阶段
网络技术专业能报考二建吗
中职计算机网络技术一二章
网络安全攻防培训方案
数据库表代码
自己的服务器可以联网运营么
电脑维斯易联网络打印服务器
杭州官方软件开发哪个好
服务器软件管理员密码
网络安全等级怎么降低
华科网络安全专业2020报录比
数据库查询的不同方法
杨浦租房网络安全
江阴微型软件开发价格优惠
