昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat 被曝出了严重的漏洞,几乎涉及到所有的版本。
具体来说就是 Apache Tomcat 服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。
由于 Tomcat 默认开启的 AJP 服务(8009 端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响 Tomcat 服务器上的 Web 目录文件。
根据资料显示,涉及到两个漏洞编号。
CVE-2020-1938CNVD-2020-1048首先启动 apache tamcat 服务,访问 localhost:8080 可以成功访问如下界面。
通过上图,我们可以确定到对应 Tomcat 的版本号。
然后再使用漏洞扫描工具对其进行端口扫描发现 8009、8080 都已端口开启,证明有该漏洞。
然后,大家可以利用 github 上别人写好的脚本进行攻击演示。下载地址如下,有两个。任选其一即可。
Poc1 下载地址:
https://github.com/0nise/CVE-2020-1938
Poc2 下载地址:
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
下载好后进入该文件夹 cmd 命令执行并加上网址参数利用 poc。需要注意的是 poc 为 py2 环境。然后执行下面的命令。
执行成功后就可以看到成功访问到该文件 web.xml。其他的 WEB-INF 下面的文件都可以访问到,包括你的源码文件,jsp、html、.class 等。
1、禁用Tomcat 的 AJP 协议端口,在 conf/server.xml 配置文件中注释掉 <Connector port=”8009″ protocol=”AJP/1.3″redirectPort=”8443″ />。
2、在 ajp 配置中的 secretRequired 跟 secret 属性来限制认证。
3、对 Tomcat 进行版本升级。
你们公司有没有用 Tomcat?用的版本是多少?有没有中招?欢迎留言区评论交流!
www.gj *** g.com
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
Hackernews 编译,转载请注明出处: 一名23岁的俄罗斯人在美国被起诉,并被列入美国联邦调查局网络通缉名单,因为他被指控是一家网络犯罪论坛 Marketplace A的管理员,该论坛出售被盗的登录凭证、个人信息和信用卡数据。 伊戈尔 · 德赫蒂亚克(Igor Dekhty...
在英国,购买比特币最简单、最匿名的方式之一是前往选定的商店,使用比特币自动取款机,你只需存入现金,然后将比特币发送到你的比特币钱包。英国金融行为监管局(FCA)现在正命令经营这些自动取款机的公司关闭它们,因为它们没有实施旨在防止洗钱的KYC措施。 要在英国运营,加密货币自动取款机应在FCA注册,并...
美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼...
Hackernews 编译,转载请注明出处: 网络安全公司ESET 和Broadcom的Symantec表示,他们发现了一种新的数据雨刷恶意软件,用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。 这家斯洛伐克公司将这款雨刷命名为”HermeticWi...
在过去的一周时间里,对于 IT 管理员来说无疑是非常忙碌的,他们正在争分夺秒地应对影响世界各地系统的 Log4j 漏洞。随着安全专家不断发现日志工具中的更多漏洞,IT 管理员不知疲倦地工作,以确定和关闭任何可能使漏洞被利用的潜在访问。不幸的是,一个新发现的载体已经证明,即使是没有互联网连接的孤立系统...