CVE-2020-1938批量扫描工具怎么用

发布时间：2021-12-20 18:01:57 作者：柒染
来源：亿速云阅读：286

# CVE-2020-1938批量扫描工具使用指南

## 漏洞背景
CVE-2020-1938（Ghostcat）是Apache Tomcat服务器中的高危文件包含/读取漏洞，影响版本包括：
- Tomcat 6.x
- Tomcat 7.x < 7.0.100
- Tomcat 8.x < 8.5.51
- Tomcat 9.x < 9.0.31

攻击者可通过AJP协议（默认端口8009）读取webapp目录下的任意文件，甚至实现RCE。

---

## 常用扫描工具推荐
1. **Ghostcat-Scanner**（Python版）
2. **Nmap脚本**（`tomcat-ghostcat.nse`）
3. **Metasploit模块**（`auxiliary/scanner/http/tomcat_ghostcat`）

---

## Ghostcat-Scanner使用详解

### 环境准备
```bash
git clone https://github.com/00theway/Ghostcat-CNVD-2020-10487.git
cd Ghostcat-CNVD-2020-10487
pip install -r requirements.txt

基础扫描

python3 ghostcat.py 192.168.1.100

批量扫描模式

准备目标IP列表文件（targets.txt）：

192.168.1.100
192.168.1.101:8009
10.0.0.1:8443

执行批量扫描：

python3 ghostcat.py -f targets.txt -o results.txt

高级参数

参数	作用
`-p PORT`	指定AJP端口（默认8009）
`-t TIMEOUT`	设置超时时间（默认3秒）
`-v`	显示详细输出

Nmap扫描方法

nmap -p 8009 --script tomcat-ghostcat <target>

批量扫描示例：

nmap -iL targets.txt -p 8009 --script tomcat-ghostcat -oN ghostcat_results.txt

注意事项

合法授权：扫描前务必获得书面授权
风险控制：建议在测试环境验证后再批量扫描
结果验证：部分工具可能存在误报，需手动确认
防护建议：
- 升级到安全版本
- 禁用AJP协议（注释conf/server.xml中的<Connector port="8009">）
- 配置防火墙规则限制AJP端口访问

常见问题解答

Q：扫描时出现连接超时怎么办？ A：检查目标是否开启8009端口，或使用-t参数增加超时时间

Q：如何确认漏洞真实存在？ A：尝试读取/WEB-INF/web.xml等已知文件验证

Q：工具报错ImportError: No module named requests A：执行pip install requests安装依赖

注意：本文仅用于安全研究目的，未经授权扫描他人系统属于违法行为。 “`

（全文约750字，包含工具使用、参数说明和防护建议等内容）