歡迎光臨
我們一直在努力

從零開始學習struts2漏洞 S2-001

原文出處:https://xz.aliyun.com/t/2672

該漏洞因為使用者提交表單資料並且驗證失敗時,後端會將使用者之前提交的參數值使用 OGNL 表示式 %{value} 進行解析,然後重新填充到對應的表單資料中。例如註冊或登入頁面,提交失敗後端一般會預設返回之前提交的資料,由於後端使用 %{value} 對提交的資料執行了一次 OGNL 表示式解析,所以可以直接構造 Payload 進行命令執行

文章圖片來源:https://xz.aliyun.com/t/2672
前言引用來源:https://xz.aliyun.com/t/2672
參考資料:【Struts2-命令-程式碼執行漏洞分析系列】S2-001

-------------------
如果你認同支持我們每日分享的文章的話,請幫我們按個讚並且點擊追蹤「搶先看」,這樣就可以快速獲得最新消息囉!
您的分享及點讚,是我們最大的動力來源。
https://www.facebook.com/LonelyPoPo/

贊(0) 打賞
轉載請附上作者連結:波波的寂寞世界 » 從零開始學習struts2漏洞 S2-001

波波的寂寞世界

Facebook聯繫我們

覺得文章有用,請作者喝杯咖啡

掃一掃打賞作者狗糧