GlassFish 任意文件读取漏洞
作者:互联网
漏洞简介
glassfish是一款java编写的跨平台的开源的应用服务器。
java语言中会把%c0%ae解析为\uC0AE,最后转义为ASCCII字符的.(点)。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转,达到目录穿越、任意文件读取的效果。
漏洞复现
这里使用4.1.0版本
使用vulhub
cd /vulhub/glassfish/4.1.0
(root标签:Pull,ae,读取,c0%,漏洞,GlassFish,ae%,glassfish,complete
来源: https://blog.csdn.net/weixin_51387754/article/details/121552655