跟着大佬复现了一下,这个洞看着跟CVE-2020-9484很像,但是CVE-2020-9484必须在靶机中把反序列化文件放到/tmp/test.session,命令如下java -jar ysoserial-all.jar Groovy1 "touch/tmp/test">/tmp/test.session.但CVE-2025-24813可以通过put请求上传反序列化文件,利用起来更方便
1 篇文章
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!