CVE-2024-36401漏洞分析

文章预览

前言 本文是团队师傅（大二）关于漏洞复现的一篇笔记，笔记记录了对于CVE-2024-36401（Geoserver未授权代码执行分析）的复现及一些思考，该师傅热爱java代码审计以及工具开发，后续将对一些漏洞POC进行工具整理，欢迎各位师傅指教。 参考和环境 1、漏洞描述和细节 ： https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w 分析的时候具体参考这两段内容： 2、环境搭建： 为了 采用 ScriptEngineManager 的 js 代码执行进行内存马注入， 可选择 p 神 vulhub 的 dockerfile ,并且将openjdk 的版换成 11（也 可用 docker 的 build 一句话来构建 ） FROM openjdk:11 LABEL maintainer = "phithon  " R U N   s e t   - e x  \ & & apt-get update \ & & apt-get install -y --no-install-recommends curl unzip ca-certificates \ & & curl -#SL https://sourceforge.net/projects/geoserver/files/GeoServer/2.23.2/geoserver-2.23.2-bin.zip/ ………………………………