2401_82714285的博客

原创 《Tomcat 任意文件上传漏洞（CVE-2017-12615）实验报告》

当启用了 PUT 方法且未对上传文件的后缀名进行严格限制时，攻击者可以构造恶意的文件上传请求，将任意文件上传到服务器指定目录下。若上传的是恶意脚本文件（如 JSP 脚本），攻击者则可通过访问该脚本在服务器上执行任意命令，获取服务器权限，严重危害服务器安全。本实验旨在深入理解 Tomcat 任意文件上传漏洞（CVE-2017-12615）的原理、危害及利用方式，通过实际操作复现该漏洞，从而提升对服务器安全漏洞的认知与防范能力。第五步：查看1.jsp 文件路径root下的1.jsp。