解决tomcat漏洞问题（含CVE-2020-1938等）

# CVE-2020-1938 Apache Tomcat 文件包含 影响版本： Tomcat6-9 Exp： ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。目前，厂商已发布新版本完成漏洞修复。 Tomcat是Apache软件基金会中的一个重要项目，性能稳定且免费，是目前较为流行的Web应用服务器。由于Tomcat应用范围较广，因此本次通告的漏洞影响范围较大，请相关用户及时采取防护措施修复此漏洞。 参考链接： https://www.cnvd.org.cn/webinfo/show/5415 二、影响范围

压缩包中含有详细的文档说明、操作指南以及所需要的附件。本作者亲自验证有效。如果有问题，请联系作者QQ。

CVE-2020-1938 AJP 文件包含利用脚本，可读取网站文件源代码，满足相应条件可以任意命令执行，反弹shell

CNVD-2020-10487-Tomcat-Ajp-lfi-POC CNVD-2020-10487（CVE-2020-1938），tomcat ajp lfi poc注意：poc.py仅在python2.7上运行，不支持python 3+ 用法：pip install -r requirements.txt python poc.py -p 8009 -f“ /WEB-INF/web.xml” 127.0.0.1