练了一下vulhub spring的CVE-2022-2965，写了个的poc，headers里的“suffix”、“c1”、“c2”，最终没有写入jsp文件中。 #1690

Abs1n7he · 2022-12-02T13:06:04Z

xray发的包，headers里的“suffix”、“c1”、“c2”，最终没有写入jsp文件中；
xray发的包用burpsuit发，headers里的“suffix”、“c1”、“c2”，成功写入jsp文件中。

Jarcis-cy · 2022-12-03T07:08:58Z

看起来格式有点问题，可能加载上就报错了，可以提供一下报错信息，运行时，在webscan前面加上--log-level debug查看详细信息，同时建议poc采用我们的规则实验室进行编写

Abs1n7he · 2022-12-05T02:50:47Z

写的jsp文件内容成功与失败如图：

mashiro01 · 2022-12-26T10:21:20Z

请问能否提供所示poc的全部内容这里进行验证？这里本地搭建靶场使用xray测试可正常替换内容并写入到文件中

Jarcis-cy added the 等待回复 label Apr 11, 2024

Provide feedback