漏洞信息
根据国家信息安全漏洞共享平台(CNVD)20日发布的Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。
漏洞编号
cnvd-2020-10487
cve-2020-1938
漏洞条件
开放AJP端口(默认开放8009)
漏洞版本
apache tomcat 6
apache tomcat 7 < 7.0.100
apache tomcat 8 < 8.5.51
apache tomcat 9 < 9.0.31
扫描框架
Ladon设计的初衷就是一个多线程扫描框架,主要是为了让使用者能快速批量检测企业内部或外部站点漏洞
不管你擅长哪一门语言,只需要实现单一功能,都可以快速进行批量IP、批量URL、批量C段、批量B段等等
每当公开或泄露一个新漏洞时,自己要实现多现程以及批量以上功能,重写一份浪费时间,可能会错过时机
小内网可能自己写个批量IP.TXT就够用了,但是大的内网几百几千个网段就基本没有工具考虑,如批量C段
但是不要慌,无论是多线程,还是批量C段、跨网段等等,Ladon全都帮你考虑好了,只需实现单一功能即可
在Ladon的插件中配置INI方式是不需要具备编程能力的,只要会使