Apache Tomcat文件包含漏洞复现（CVE-2020-1938）

漏洞简介

漏洞编号：

CVE-2020-1938

漏洞详情：

Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。而该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者可通过构造特定参数读取webapp目录下的任意文件。

漏洞影响范围：

Apache Tomcat = 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

漏洞复现

环境搭建：

安装docker

1.    curl https://download.docker.com/linux/centos/docker-ce.repo -o /etc/yum.repos.d/docker-ce.repo
2.    yum install https://download.docker.com/linux/fedora/30/x86_64/stable/Packages/containerd.io-1.2.6-3.3.fc30.x86_64.rpm
3.    yum install docker-ce
4.    systemctl start docker

更换镜像