Goal Reached Thanks to every supporter — we hit 100%!

Goal: 1000 CNY · Raised: 1000 CNY

100.0%
Buy Us a Coffee

CVE-2024-24549 PoC — Apache Tomcat: HTTP/2 header handling DoS

Source
https://github.com/JFOZ1010/CVE-2024-24549
Associated Vulnerability
Title:Apache Tomcat: HTTP/2 header handling DoS (CVE-2024-24549)
Description:Denial of Service due to improper input validation vulnerability for HTTP/2 requests in Apache Tomcat. When processing an HTTP/2 request, if the request exceeded any of the configured limits for headers, the associated HTTP/2 stream was not reset until after all of the headers had been processed.This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.0-M16, from 10.1.0-M1 through 10.1.18, from 9.0.0-M1 through 9.0.85, from 8.5.0 through 8.5.98. Other, older, EOL versions may also be affected. Users are recommended to upgrade to version 11.0.0-M17, 10.1.19, 9.0.86 or 8.5.99 which fix the issue.
Description
Proof of concept of the CVE-2024-24549, Exploit in Python.
Readme
# Apache Tomcat DoS Exploit (CVE-2024-24549)

## Descripción

Este repositorio contiene un exploit de prueba de concepto (PoC) para un ataque de denegación de servicio (DoS) contra **Apache Tomcat versión 9.0.83**, basado en un problema identificado en el manejo de encabezados HTTP y cargas útiles. Este script genera solicitudes HTTP maliciosas utilizando múltiples hilos para provocar la sobrecarga del servidor objetivo.

> **Nota**: Este exploit es únicamente para fines educativos y de investigación. No debe utilizarse para atacar sistemas sin la autorización expresa del propietario.

## Características

- **Soporte de múltiples hilos**: Envío concurrente de solicitudes maliciosas para maximizar el impacto.
- **Configuración personalizable**: Permite ajustar el número de solicitudes, hilos concurrentes, intervalo entre solicitudes y más.
- **Registro de actividad**: Guarda detalles de cada solicitud enviada en un archivo de registro.
- **Payload dinámico**: Genera encabezados HTTP y cuerpos de solicitudes aleatorios para evitar patrones predecibles.

## Uso

### Requisitos previos

- **Python 3.8+**
- Biblioteca estándar de Python (no requiere instalación adicional).

### Instalación

1. Clona este repositorio:
   ```bash
   git clone https://github.com/JFOZ1010/CVE-2024-24549.git
   cd CVE-2024-24549
   ```
2. Ejecucion: (Ejecuta el script con los siguientes argumentos):
   ```
    python3 exploit.py --host <IP_DEL_OBJETIVO> --port <PUERTO> --num-requests <NUM_SOLICITUDES> --concurrent-threads <HILOS> --request-interval <INTERVALO>
   ```
Parámetros:

    --host: Dirección del servidor objetivo (por defecto: localhost).
    --port: Puerto del servidor objetivo (por defecto: 8080).
    --num-requests: Número total de solicitudes a enviar (por defecto: 1000).
    --concurrent-threads: Número de hilos concurrentes (por defecto: 10).
    --request-interval: Intervalo entre solicitudes en segundos (por defecto: 0.5).
    --log-file: Nombre del archivo de registro (por defecto: requests.log).
File Snapshot

 [4.0K]  /data/pocs/8c6a45fe7cc32ef12bfcfa094384381fb62d7f0a
├── [4.4K]  exploit-cve2024-24549.py
├── [2.0K]  README.md
└── [5.0M]  requests.log

0 directories, 3 files
Shenlong Bot has cached this for you
Remarks
    1. It is advised to access via the original source first.
    2. Local POC snapshots are reserved for subscribers — if the original source is unavailable, the local mirror is part of the paid plan.
    3. Mirroring, verifying, and maintaining this POC archive takes ongoing effort, so local snapshots are a paid feature. Your subscription keeps the archive online — thank you for the support. View subscription plans →