独孤求败Ace
第48天:Web开发-JavaEE应用&依赖项&Log4j日志&Shiro验证&FastJson数据&XStream格式
>造成我们白盒/黑盒发现了该Java代码使用xstream组件,也知道该组件的版本,并从网上找到了该版本xstream的payload->但是payloa执行不成功->分析:很有可能是jkd版本不对(该paoload里面有JNDI注入,该注入受jdk版本限制)打开一个网页,看到有上传参数的点,无脑上传log4j的payload,因为不知道代码,也不知道是哪里接受恶意参数,只能无脑上传来测试。参考:https://mp.weixin.qq.com/s/M_oQyZYQEFu0nbG-IpJt_A。
wind瑞 
