1.漏洞原理 Tomcat服务器是一个免费的开放源代码的Web应用服务器，其安装后会默认开启ajp连接器，方便与其他web服务器通过ajp协议进行交互。属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。Tomcat和IIS等Web服务器一

漏洞描述TomcatAJP协议中存在缺陷，攻击者可以读取或包含Tomcat的webapp目录中的任何文件。漏洞危害:读取webapp配置文件或源代码。如果攻击者读取配置文件得到敏感用户名和下面，tomcatWeb应用开放manager目录具有文件上传功能2.1可以直接上传shell获取控制权，2.2通过Gho

今天来学习一下早就听说过的幽灵猫ghostCat漏洞，已经是四年前提出的漏洞了。但看起来还是很难完全理解它的机制的。这个漏洞是一个存在于Tomcat的文件包含漏洞主要是tomcat中配置了两个连接器，一个http，一个ajpAJP和HTTP协议都是网络通信协议，都基于tcp协议。其中AJP协议使用二进制

AapacheTomcatAJP文件包含漏洞（CVE-2020-1938）【项目中遇到过】1.背景简述java是目前WEB开发中主流的编程语言，而Tomcat是当前流行的Java中间件服务器之一。Ghostcat（幽灵猫）是由长亭科技安全研究员发现的存在于Tomcat中的安全漏洞，由于TomcatAJP协议设计上存在缺陷，攻击者通

无法启动组件[Connector[AJP/1.3-8009]]在tomcat中开启ajp后，启动tomcat遇到错误无法启动组件[Connector[AJP/1.3-8009]]。错误原因缺少配置项secretRequired。tomcat9提供的默认的AJP配置如下：<Connectorprotocol="AJP/1.3"address="::1"port="800

APACHE2.2.8+TOMCAT6.0.14配置负载均衡目标:使用apache和tomcat配置一个可以应用的web网站，要达到以下要求：1、 Apache做为HttpServer，后面连接多个tomcat应用实例，并进行负载均衡。2、 为系统设定Session超时时间，包括Apache和tomcat

APACHE2.2.8+TOMCAT6.0.14配置负载均衡目标:使用apache和tomcat配置一个可以应用的web网站，要达到以下要求：1、 Apache做为HttpServer，后面连接多个tomcat应用

TOMCAT报错AJP连接器配置secretRequired="true",但是属性secret确实空或者空字符串，这样的组合是无效的。解决方法解决方案也很简单，打开server.xml，在connector段中设置AJP

影响版本：ApacheTomcat9.x<9.0.31ApacheTomcat8.x<8.5.51ApacheTomcat7.x<7.0.100ApacheTomcat6.x 环境搭建docker-composebuilddocker-composeup

上周扫描到一个TomcatAJP，无法利用。具体扫描方法是设置自定义属性。但是目标机器删掉了ROOT文件夹也没有设置context。所以研究一下TomcatAJP，顺带看看Tomcat源码，找