Struts2最近问题频发,各大互联网大厂纷纷躺枪,这不TOM也来了~ 这次发现漏洞的站点是“TOM音乐互联”,好像是个废弃站点~ Struts2未升级,导致可Getshell 链接:http://211.100.40.155/website/applyCollectWebsite.action Getshell,如图
1、注入点:http://sms.tom.com/pk12530/ub/news_admin/index.php?id=18 ,如图 2、注入点:http://m.tom.cn/appweb/book/xiazai.jsp?s=116 ,如图