本文详细介绍了CVE-2019-0232高危漏洞,该漏洞允许在Windows平台上通过精心设计的请求在Apache Tomcat 9.0.18及以下版本执行任意代码。内容包括漏洞背景、影响范围、环境配置、漏洞复现步骤以及POC测试,还提到了在复现过程中可能遇到的400和404错误的解决方案。
CVE编号:CVE-2019-0232 威胁等级:高危
漏洞背景
2019年4月13号,Apache Tomcat 9.0.18版本公告中提到,本次更新修复了一个代号为CVE-2019-0232的漏洞。
该漏洞只对Windows平台有效,攻击者向CGI Servlet发送一个精心设计的请求,可服务端注入和执行任意操作系统命令。
影响范围:
Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39
Apache Tomcat 7.0.0 to 7.0.93
环境:
VMware 虚拟机 windows 7 (x32) (192.168.188.138)
JAVA SE (JDK 1.8.0_73)
Apache tomcat 9.0.13 (https://archive.apache.org/) (port :8080)
漏洞复现
配置Toncat:
- 开启Tomcat的CGI_Servlt组件
\Tomcat 9.0\conf\web.xml 文件设置如下图
将下图注释符去掉
改为下图标记处所示
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
