Apache-tomcat 远程命令执行(CVE-2019-0232)
漏洞概述
该漏洞只对 Windows 平台有效,攻击者向 CGI Servlet 发送一个精心设计的请求,可在具有 Apache Tomcat 权限的系统上注入和执行任意操作系统命令。漏洞成因是当将参数从 JRE 传递到 Windows 环境时,由于 CGI_Servlet 中的输入验证错误而存在该漏洞。
漏洞环境搭建
参考 漏洞环境搭建教程
漏洞利用
流量分析
检测是否存在对系统敏感目录的请求,且检测是否存在尝试通过请求(.bat 或者.cmd)文件进行命令执行,如果存在上述请求,则可判定攻击行为