Tomcat AJP ghostcat (CVE-2020-1938) 图解分析

Tomcat 2022-10-07

上周扫描到一个Tomcat AJP,无法利用。
具体扫描方法是设置自定义属性
但是目标机器删掉了ROOT文件夹也没有设置context。
所以研究一下 Tomcat AJP,顺带看看Tomcat源码,找找利用或优化方法

直接读取文件:读取不到->500报错
设置自定义属性:404报错
没有ROOT:走不到设置路径,404报错
优化还是读一下具体的文件

参考链接:
https://www.buaq.net/go-22691.html

相关文章

Solr+Tomcat+zookeeper部署实战
一 、安装solr 环境说明:centos 7.3,solr 6.6,zookeeper3...
tomcat,httpd 日志格式说明
tomcat 日志说明 配置文件server.xml 默认日志格式为 推荐使...
Tomcat 日志切割 catalina.out
在实际生产环境中,tomcat的 catalina.out日志默认是不切割的...
Tomcat配置https
简介: SSL 协议的3个特性: 保密:通过SSL链接传输的数据是...
tomcat WEB-INF web.xml 映射jsp 为servlet 修改.jsp后缀为.php
<servlet> <servlet-name&...
使用Tomcat重新加载功能加快开发速度
遵循Java Servlet 规范第4节中的建议 ,Apache Tomcat实现了...