Tomcat-未授权访问-CVE-2020-1938

最新推荐文章于 2024-08-06 22:48:48 发布

Lin冲啊

最新推荐文章于 2024-08-06 22:48:48 发布

阅读量2.7k

点赞数

文章标签： tomcat 安全漏洞

本文链接：https://blog.csdn.net/weixin_43071873/article/details/109854341

版权

漏洞概括：
由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件
影响范围：
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x
漏洞利用：
Poc：https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC

在非授权条件下，成功访问到的WEB-INF下的web.xml
在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Lin冲啊

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Tomcat-未授权访问-CVE-2020-1938

漏洞概括：由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件影响范围：Apache Tomcat 9.x < 9.0.31Apache Tomcat 8.x < 8.5.51Apache Tomcat 7.x < 7.0.100Apache Tomcat 6.x漏洞利用：Poc：https://github.com/nibiwodong/CNVD-2020-1
复制链接

扫一扫

中间件安全—Tomcat常见漏洞

zzz6583zz的博客

05-08

1410

链接。

src挖掘之Tomcat未授权弱口令+war后门上传

huangyongkang666的博客

07-18

3422

高危src挖掘

参与评论您还未登录，请先登录后发表或查看评论

常见中间件漏洞（一、Tomcat合集）

最新发布

2301_76631050的博客

08-06

734

tomcat是一个开源而且免费的jsp服务器，默认端口:8080，属于轻量级应用服务器。它可以实现JavaWeb程序的装载，是配置JSP(Java Server Page)和JAVA系统必备的一款环境。在历史上也披露出来了很多的漏洞，这里我们讲几个经典的漏洞复现。

Tomcat无法访问网页

weixin_65260966的博客

12-29

1049

locahost:8080无法访问，127.0.0.1:8080无法访问，Tomcat安装后在浏览器打不开，Tomcat下载完怎么打开，Tomcat打不开怎么办？

部署错误：尚未授予访问 Tomcat 服务器的权限。请在服务器管理器的 Tomcat 定制器中设置 "manager-script" 角色的正确用户名和口令。

淘气的黑妞_爱说话

07-01

6836

我们使用NetBeans创建一个javaEE工程时，当调试的时候会遇到这样的问题：部署错误：尚未授予访问 Tomcat 服务器的权限。请在服务器管理器的 Tomcat 定制器中设置 “manager-script” 角色的正确用户名和口令。有关详细信息，请查看服务器日志。首先这个问题，的原因：是由于你没有在创建JavaEE工程时就配置好tomcat的user权限

tomcat故障——数据库未授权

abc409944643的博客

08-08

355

转载于:https://www.cnblogs.com/zdqc/p/9444214.html

Tomcat报错主机未授权已到期！

cuanxixia1496的博客

09-29

260

Tomcat报错主机未授权已到期！ 2015-09-29 INFO [main] (CharsetSetFilter.java:25) - 设置系统环境编码为：UTF-8 主机未授权已到期！ 2015-09-2...

CVE-2020-1938 漏洞利用工具（POC）

09-12

CVE-2020-1938，也被称为Apache Tomcat文件包含漏洞，是一个在Apache Tomcat服务器中发现的安全漏洞，该漏洞允许攻击者远程读取服务器上的任意文件，甚至可能在某些情况下执行恶意代码。这个漏洞影响了Tomcat 9.0.x...

WebLogic未授权命令执行漏洞(CVE-2020-14882-14883)

m0_48520508的博客

11-10

8297

0x00简介 WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 Weblogic对比Tomcat 0x01漏洞概述 CVE-2020-14882: 代码执行漏洞远程攻击者可以构造特殊的HTTP请求，在未经身份

Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现

smellycat000的专栏

11-12

1843

【漏洞复现】Tomcat CVE-2017-12615 (任意文件上传漏洞)

做自己喜欢的事，并将其发挥到极致！

02-16

2518

文章目录前言一、漏洞描述二、影响版本三、漏洞分析四、本地复现五、修复建议前言本篇文章仅用于安全研究和技能学习,切勿用于非授权情况下渗透攻击行为,出现任何后果与本文作者无关。一、漏洞描述但存在漏洞的Tomcat运行在Windows/Linux主机上,且启用了HTTP PUT请求方法(例如将 “readonly” 初始化参数由默认值设置为 “false”)，攻击者通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的WebShell文件，JSP文件中的恶意代码将能被服务器执行，导致服务器

部署错误：尚未授予访问 Tomcat 服务器的权限。请在服务器管理器的 Tomcat 定制器中设置 "manager-script" 角色的正确用户名和口令。有关详细信息，请查看服务器日志。

热门推荐

Hsing Hsu's Blog

07-25

1万+

部署错误：尚未授予访问 Tomcat 服务器的权限。请在服务器管理器的 Tomcat 定制器中设置 "manager-script" 角色的正确用户名和口令。有关详细信息，请查看服务器日志。错误，NetBeans部署Tomcat错误。解决方法：1、在tomcat安装目录下C:\Program Files\apache-tomcat-7.0.16\conf找到tomcat-

Tomacat小记 tomacat验证页面访问Server Status、Manager App或者Host Manager时，401表示未授权解决办法

qq_36838558的博客

07-07

644

tomacat验证页面访问Server Status、Manager App或者Host Manager时，401表示未授权我们需要在tomcat安装目录下的conf/tomcat-users.xml配置文件中增加用户和用户角色。在/usr/local/tomcat/conf/tomcat-users.xml文件中添加以下内容： vi /usr/local/tomcat/conf/tomcat-users.xml 刷新界面这次出现的是403连接拒绝。默认情况下，只能通过与Tomcat在同一台计算

Tomcat 8.5版本文件上传后无权限访问的问题

wcdunf的博客

11-12

968

前在tomcat 7下文件上传后访问一直没问题，现在tomcat版本升到8.5，在测试文件http上传时，发现所传文件无法通过nginx访问了。（Tomcat具体版本为8.5.11） S：tomcat通过root用户来启动。在确定了nginx自身的没有配置问题之后，上linux服务器查看所传文件，发现其上传目录下代码自动创建的目录权限是750，所上传文件权限是640。也就是说默认赋予的文件权限中其他用户的权限始终为0所导致。默认权限与umask有关，因此怀疑是系统默认...

未授权访问整理

weixin_33720078的博客

06-17

324

1 #zookeeper Python3 2 3 #-*- coding: utf-8 -*- 4 5 import socket 6 7 def verify(protocol,ip,port): 8 url = ip+':'+str(port) 9 print('testing if zookeeper unanth vul') 1...

tomcat AJP漏洞

Junior

03-07

801

tomcat登陆WEB显示无权限问题&& tomcat无限循环启动问题

weixin_30877493的博客

07-01

219

tomcat登陆WEB显示无权限问题 The user specified as a definer (”@’%') does not exist 原因分析因为创建视图使用的是xff@%用户(目前已经不存在)，然后登录用户使用的是xff@localhost用户，导致mysql认为现在的用户无权限访问该视图，解决方法就是在当前用户下重建该视图。 tomcat无限循环启...

在Tomcat中为页面设置访问权限

天堂露珠的专栏

02-19

3207

在web应用中，对页面的访问控制通常通过程序来控制，流程为：登录 -> 设置session -> 访问受限页面时检查session是否存在，如果不存在，禁止访问。对于较小型的web应用，可以通过tomcat内置的访问控制机制来实现权限控制。采用这种机制的好处是，程序中无需进行权限控制，完全通过对tomcat的配置即可完成访问控制。为了在tomcat页面设置访问权限控制，在项目的WEB-IN

Tomcat 文件读取漏洞(CVE-2020-1938) 如何处理

09-09

对于Tomcat文件读取漏洞（CVE-2020-1938），以下是一些处理方法： 1. 更新Tomcat版本：确保您使用的Tomcat版本已修复了该漏洞。Apache官方发布了修复程序的Tomcat版本，您应该升级到最新版本。 2. 配置安全限制：...