Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapps目录下的任意文件,但不能跨到上级目录。 PoC来自GitHub:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi 第一 ...
分类:
其他好文 时间:
2020-02-22 15:41:51
阅读次数:
190
序 Laravel是一款比较流行的优秀php开发框架,本身也比较重,通过这个框架来接触大型框架的代码审计、包括锻炼反序列化漏洞的挖掘利用是比较合适的。在学习了几天Laravel开发以后,我尝试复现了一下CVE 2019 9081,整体过程和原作者还是有些区别的,原作者思维比较跳跃的地方,我按自己的思 ...
分类:
其他好文 时间:
2020-02-22 10:17:35
阅读次数:
675
0x00 前言 2020年2月20日傍晚,在某群看到有群友问CNVD的tomcat文件包含漏洞有什么消息没 接着看到安恒信息应急响应中心公众号发了个漏洞公告 随后chy师傅也在群里发了个阿里云的公告链接 根据安恒和阿里云公告给出的信息我们知道是tomcat ajp服务出了问题,但具体是哪里出了问题却 ...
分类:
其他好文 时间:
2020-02-21 21:58:29
阅读次数:
1874
0x00 漏洞简介 Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。 Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:web ...
分类:
Web程序 时间:
2020-02-21 20:20:42
阅读次数:
134
cve-2020-1938是一个出现在Apache-Tomcat-Aip的文件包含漏洞。 ...
分类:
其他好文 时间:
2020-02-21 16:09:32
阅读次数:
2076
Apache-Tomcat-Ajp漏洞(CVE-2020-1938)漏洞复现 ...
分类:
Web程序 时间:
2020-02-21 14:25:57
阅读次数:
1429
关于Apache Tomcat存在文件包含漏洞的安全公告 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程 ...
分类:
Web程序 时间:
2020-02-21 10:14:15
阅读次数:
202
受影响系统:Intel Quartus Prime Pro Edition < 19.3描述:CVE(CAN) ID: CVE-2019-14603 Intel Quartus Prime Pro是英特尔公司的一套多平台设计环境,它包含了设计FPGA、SoC 和CPLD 所需的一切。 Intel Q ...
分类:
其他好文 时间:
2020-02-20 11:38:19
阅读次数:
97
CVE-2019-0199:Apache Tomcat DDOS ...
分类:
Web程序 时间:
2020-02-15 15:04:59
阅读次数:
99
CVE-2019-0232:Apache Tomcat RCE复现 ...
分类:
Web程序 时间:
2020-02-15 15:02:04
阅读次数:
92
