【复现】CNVD-2020-10487-Tomcat-Ajp-lfi

受影响版本
Apache Tomcat 6
Apache Tomcat 7x <7.0.100
Apache Tomcat 8x <8.5.51
Apache Tomcat 9x <9.0.31

未受影响版本
Tomcat 7.0.0100
Tomcat 8.5.51
Tomcat 9.0.31

一、环境搭建

docker search duonghuuphuc/tomcat-8.5.32
docker pull duonghuuphuc/tomcat-8.5.32
docker run -d -p 8080:8080 -p 8009:8009 duonghuuphuc/tomcat-8.5.32在这里插入图片描述
从下图中可以看到8009和8080端口开放
【复现】CNVD-2020-10487-Tomcat-Ajp-lfi_第1张图片
二、漏洞演示
【复现】CNVD-2020-10487-Tomcat-Ajp-lfi_第2张图片
修复方案
临时禁用AJP协议端口,在conf/server.xm l配置文件中注释掉

配置ajp配置中的secretRequired跟secret属性来限制认证

官方下载最新版

你可能感兴趣的:(漏洞复现)