Apache Tomcat WebSocket 拒绝服务漏洞 CVE-2020-13935¶

漏洞描述¶

2020年11月06日，360CERT监测发现@RedTeamPentesting发布了Tomcat WebSokcet 拒绝服务漏洞 的分析报告该漏洞编号为 CVE-2020-13935 ，漏洞等级：高危 ，漏洞评分：7.5 。

未授权的远程攻击者通过发送 大量特制请求包 到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务

Apache Tomcat 10.0.0-M1-10.0.0-M6 Apache Tomcat 9.0.0.M1-9.0.36 Apache Tomcat 8.5.0-8.5.56 Apache Tomcat 7.0.27-7.0.104

https://github.com/vulhub/vulhub.git
cd vulhub/tomcat/CVE-2020-1938
docker-compose up -d

cbe1eedd-5a2a-4147-b44c-d2789769015f

访问目标，查看版本是否在漏洞版本范围内

3d20af61-6f99-43d2-a3aa-cba9927d6edd

查看攻击前的内存使用情况

08a26613-a260-4225-8c9a-f728db2258ed

01a1b582-b9d7-4377-9ce0-33ef5caf34cb

tcdos    ws://192.168.51.133:8080/examples/websocket/echoStreamAnnotation

7d40c03a-144d-4c3d-a62b-861a2dbf1a6f