CVE-2024-42323
CVE复现 困难
题目描述:

Apache HertzBeat SnakeYaml 反序列化远程代码执行漏洞(CVE-2024-42323)

题目提示:

)\; }$$\;CALL EXEC ()\;", [], "a", "b", false ]
```

然后登录 HertzBeat 后台,导航到任意监控页面并找到导入按钮,在这里将上面的恶意 YAML 文件导入:

定位导入按钮

HertzBeat 对 YAML 文件进行反序列化时,触发远程代码执行:

导入恶意 YAML 文件

如果攻击成功,payload 将在目标系统上执行。在本例中,我们可以通过检查容器中是否存在新创建的文件来验证执行结果:

验证代码执行

作者

snow

解题次数

0

一血

暂无

消耗金币

0

分数

100

最高奖励

0

创建题目环境
您尚未登录,请 登录注册 后评论
    0 人参与 | 0 条评论
    暂时没有评论,欢迎来讨论!
个人空间
创建题目

创建题目

 竞赛列表

竞赛列表

 创建比赛

创建比赛
0

题目

0

解题

0

分数

0

金币

最近解题
学习岛
任意文件读取 反序列化 命令执行 SSRF 本地靶场 SQL注入 代码审计 代码执行 命令注入 文件上传 权限提升 签到
分数排行
题目动态