PUT请求与JSP文件包含漏洞简介

最新推荐文章于 2023-05-12 10:18:30 发布
VIP文章 最新推荐文章于 2023-05-12 10:18:30 发布
阅读量930 收藏
点赞数 2
分类专栏: java及安全 文章标签: java jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47931795/article/details/108391297
版权

一、概述

1.PUT请求

PUT 方法用来传输文件。就像 FTP 协议的文件上传一样,要求在请求报文的主体中包含文件内容,然后保存到请求 URI 指定的位置。但是,鉴于 HTTP/1.1 的 PUT 方法自身不带验证机制,任何人都可以上传文件 , 存在安全性问题,因此一般的 Web 网站不使用该方法。(实验演示中,是手动打开了PUT请求方式。)

2.jsp概述

JSP(即:Java Server Pages),是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。
JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSP。

JSP通过网页表单获取用户输入数据、访问数据库及其他数据源,然后动态地创建网页。

JSP标签有多种功能,比如访问数据库、记录用户选择信息、访问JavaBeans组件等,还可以在不同的网页中传递控制信息和共享信息。

                                                                                                                         ——摘自《菜鸟教程》

二、原理

在开启PUT方式的网站上,我们可

最低0.47元/天 解锁文章
不怕死的假老练
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中模拟处理HTTP PUT请求的例子
10-25
主要介绍了PHP中模拟处理HTTP PUT请求的例子,PUT请求会把消息本体中的消息发送到一个URL,跟POST类似,需要的朋友可以参考下
SpringMVC大文件(百M以上)的上传下载实现技术
weixin_45525177的博客
09-10 352
文件夹数据库处理逻辑 publicclassDbFolder { JSONObject root; publicDbFolder() { this.root =newJSONObject(); this.root.put("f_id",""); this.root.put("f_nameLoc","根目录"); this.root.put("f_pid",""); ...
Web中间件漏洞之IIS篇
d59hao的博客
05-12 161
IIS 是 Internet Information Services 的缩写,意为互联网信息服务,是由微软公司提供的基于运行 Microsoft Windows 的互联网基本服务。最初是 Windows NT 版本的可选包,随后内置在 Windows 2000 、Windows XP Professional 和 Windows Server 2003 一起发行,但在 Windows XP Home 版本上并没有 IIS。
什么是jsp
liujiujiang的博客
08-07 428
什么是JSP? JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以&lt;%开头以%&gt;结束。 JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSPJSP通过网页表单获取用...
Tomcat put方法任意文件上传漏洞(CVE-2017-12615)复现
君莫hacker的博客
09-15 6450
目录0x01 漏洞介绍0x02 环境部署:0x03 漏洞复现1. 访问主页2. 漏洞测试3. 上传jsp木马--命令执行4. 上传成功,执行命令5. 上传jsp一句话木马6. 上传成功,冰蝎连接0x04 漏洞修复 0x01 漏洞介绍 漏洞描述 在一定条件下,攻击者可以利用这个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险 漏洞编号 CV
CTF-PUT上传漏洞
不知名白帽的博客
05-27 720
CTF-PUT上传漏洞,实验环境:kali(192.168.20.128),靶机(192.168.20.137)。进行信息探测,漏洞扫描未发现有效信息后,测试PUT漏洞,发现存在PUT漏洞,下载插件Poster(RESTClient),然后上传大马反弹shell
[WEB安全]IIS-PUT漏洞
baguangman5501的博客
08-03 780
目录 0x00 IIS简介 0x01 Put漏洞造成原因 0x02 实验环境搭建 0x03 需要用到的工具 0x04 IIS-PUT漏洞演示实战 0x05 常见请求协议 0x06 漏洞修复建议 0x00 IIS...
Tomcat任意文件上传漏洞(CVE-2017-12615)
weixin_45682070的博客
06-08 1482
受影响版本 漏洞影响的tomcat版本为tomcat7.0.0-7.0.81版本 当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法,攻击者通过构造的攻击请求向服务器上传包含任意代码的 JSP 文件,可造成任意代码执行 Tomcat配置 下载tomcat7.0.0-7.0.81版本,解压后修改conf/web.xml文件添加readonly参数,属性值为false 默认配置文件是只读模式,这里将只读改为false,即可允许PUT上传。 <init-param>
iOS开发之如何通过PUT请求上传数据
09-01
众所周知一般的服务器上传数据都是用POST请求,这样通过AFNetworking的POST请求稳稳的,但是有一天遇到一个问题,服务器上传数据用的是PUT请求,发现用AFNetworking并不是那么好用,下面这篇文章就来讲一下如何通过...
Okhttps Get Post delete put 请求封装
02-09
Okhttps添加头部Token值 和关于 GET POST DELETE PUT 请求同步异步网络的一个封装。
UniApp中封装request网络请求包含GET、POST、PUT、DELETE等
最新发布
10-27
UniApp中封装request网络请求包含GET、POST、PUT、DELETE等,更加方便实现网络数据请求,包含项目的基本框架目录,可直接用于项目开发,适用于app和微信小程序等项目
IISPUT上传漏洞
xy_sugar的博客
02-02 6005
漏洞原理 WebDAV (Web-based Distributed Authoring and Versioning) 是一种HTTP1.1的扩展协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。可以像在操作本地...
IIS-PUT上传漏洞
swordheart的博客
11-30 3610
IIS-PUT上传漏洞 IIS Server 在 Web 服务扩展中开启了 WebDAV ,网站配置了可以写入的权限,造成任意文件上传。影响版本6.0 包括配置了脚本资源访问的权限 使用burpsuite 进行测试,先PUT上传1.txt的asp的一句话 本来put上传后的状态码应该是201,由于服务器已经put上传了1.txt,所以返回的状态码为200 然后通过copy或者move方法复制或移动到指定123.asp文件当中去。 当然Destination这个是指定你创建的asp
iis put漏洞poc
洋洋的小黑屋
05-23 722
# coding=utf-8 import requests # proxy='127.0.0.1:8080' #本地代理 # proxies={ # 'http':'http://'+proxy, #http发送到127.0.0.1:8080 # 'https':'https://'+proxy #https发送到127.0.0.1:8080 # } url = "http://192.168.64.131:8001/" r = requests.options(url) resu
渗透测试系列之iis解析漏洞getshell+内网渗透
win176489的博客
06-27 2950
本次渗透测试经验分享仅供大家学习交流 本次利用的环境为内网web服务器windows2003(模拟内网主机 ip192.168.152.128 192.168.79.128) 一台外网主机 (ip xxx.xxx.xxx.xxx ) 攻击机win10(ip 192.168.31.169) kali机(192.168.31.43) 环...
靶机记录(十三):SickOs1.2 - IIS 中 PUT 漏洞的利用
weixin_47306547的博客
11-09 1726
目录 环境 主机发现 端口扫描 漏洞挖掘 GetShell 法一 法二 法三 提权 chkrootkit 漏洞提权 法一 法二 法三 防火墙规则 清痕迹,留后门 环境 链接:https://pan.baidu.com/s/1OI1bYsnS_LBvMIrQCt1yuw 提取码:lish 主机发现 端口扫描 漏洞挖掘 查看网页支持的访问方式: nmap --script=http-methods --...
在IIS中实现JSP
weixin_34038293的博客
09-14 217
在IIS中实现JSP    IIS本身是不可以支持JSP页面的,但是随着JAVA技术的广泛应用,越来越多的网站采用JAVA技术编写程序,我们根据一些资料和自己的实践经验总结了以下两种JAVA应用服务器与IIS的结合的方法,介绍给大家!IIS+jrun的配置需要环境及软件:                JDK1.3(JDK1.4)、JRUN3.0+SP2(JRUN4.0)、FREETDS_jdbc...
IIS put上传漏洞
dqd66的博客
10-17 1373
2.更改后缀(使用copy或者move方法 将上传好的文本文件复制到cmd.asp 中 然后使用中国菜刀连接)会在返回的 Allow 消息头中,包含 PUT,MOVE,COPY 可能存在IIS PUT上传漏洞。导致HTTP支持PUT相关方法,导致IIS上传漏洞 用户可以向指定目录上传任意文件。IIS Put 上传漏洞前提 :1,IIS开启WebDAV。1.上传(使用PUT方法 上传文本文件 1.txt)3,设置站点目录权限,是的IIS用户不具有写入权限。//chopper是密码。IIS put上传漏洞
使用中国菜刀(结合一句话木马)通过Iiswriter的put方法getshell
wsnbbz的博客
12-30 3372
1.在客户端安装iiswrite软件,并关闭客户端防火墙 2.服务器安装iis,勾选以下选项 3.更改iis网站的主目录,将所有权限都勾选,再将网址的权限里来宾账户的权限改为完全控制 4.在客户机使用iiswrite对服务器所在文夹件上传一个txt文件并改后缀为asp,内容为<%eval(eval(chr(114)+chr(101)...
PUT请求与POST请求的区别
06-02
2. 安全性不同:PUT请求是幂等的,即多次请求相同的PUT请求不会对服务器产生副作用,不会重复创建资源,因此相对安全;而POST请求是非幂等的,多次请求可能会重复创建资源,因此相对不太安全。 3. 使用场景不同:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值