摘要:
一、漏洞基本信息 S2-037官方公告 CVE编号:CVE-2016-4438漏洞名称:Struts(S2-037)远程代码执行漏洞发布日期:2016.615受影响的软件及系统:Apache struts 2.3.20 - 2.3.28.1 版本使用了REST插件的用户 漏洞概述:Apache St 阅读全文
摘要:
Level 16 查看源码:发现 空格 / 和script都被转义了。 用img标签的onerror事件(在加载外部文档或图片出错后触发),空格用%0a绕过, payload如下: <img%0asrc="1"%0aonerror="alert(1)"> Level 17 观察页面源码:这里用到了 阅读全文