阿里云java源码-Spring-Boot-Actuator-Exploit:SpringBootActuator(jolokia)XXE/R

时间:2024-06-25 20:04:47
【文件属性】:

文件名称:阿里云java源码-Spring-Boot-Actuator-Exploit:SpringBootActuator(jolokia)XXE/R

文件大小:8KB

文件格式:ZIP

更新时间:2024-06-25 20:04:47

系统开源

阿里云java源码Spring Boot Actuator (jolokia) XXE/RCE 来自以下文章的信息和有效载荷: 28/02/2020 编辑:另一篇使用 H2 数据库实现 RCE 的文章 在 Spring Boot Actuator < 2.0.0 和 Jolokia 1.6.0 上测试。 如果您可以使用 Spring Boot Actuator 和以下资源访问以下资源/actuator/jolokia或/jolokia : reloadByURL ,这篇文章可以帮助您利用 XXE 并最终利用 RCE。 设置环境: git clone https://github.com/artsploit/actuator-testbed cd actuator-testbed mvn install mvn spring-boot:run 1. jolokia XXE 如果操作reloadByURL存在,则可以从外部 URL 重新加载日志记录配置: logback 背后的 XML 解析器是 SAXParser。 我们可以利用此功能触发基于以下有效负载的 XXE 带外错误: # fil


【文件预览】:
Spring-Boot-Actuator-Exploit-master
----.gitignore(302B)
----README.md(6KB)
----.gitmodules(109B)
----maliciousRMIServer()
--------.gitignore(301B)
--------README.md(204B)
--------pom.xml(1KB)
--------LICENSE(1KB)
--------src()
----logback.xml(110B)
----actuator-testbed()

网友评论