Geoserver 介绍：

GeoServer 是一款基于 Java 的服务器，允许用户查看和编辑地理空间数据。GeoServer 使用开放地理空间联盟 (OGC)制定的开放标准，在地图创建和数据共享方面具有极大的灵活性。通过实施Web 地图服务 (WMS)标准，GeoServer 可以创建多种输出格式的地图。GeoServer集成了免费地图库OpenLayers ，使地图生成变得快速而简单。GeoServer 建立在开源 Java GIS 工具包 GeoTools之上。GeoServer 符合Web 要素服务 (WFS)标准和Web 覆盖服务 (WCS)标准，允许共享和编辑用于生成地图的数据。

漏洞概述：

GeoTools的受影响版本在处理用户输入的XPATH表达式时未做处理直接传递给了commons-jxpath库进行解析，由于commons-jxpath可以执行任意代码，从而导致任意代码执行漏洞。

影响版本：

30.0 <= org.geotools:gt-complex < 30.4
org.geotools:gt-complex < 29.6
31.0 <= org.geotools:gt-app-schema < 31.2
30.0 <= org.geotools.xsd:gt-xsd-core < 30.4
30.0 <= org.geotools:gt-app-schema < 30.4
org.geotools:gt-app-schema < 29.6
31.0 <= org.geotools.xsd:gt-xsd-core < 31.2
org.geotools.xsd:gt-xsd-core < 29.6
31.0 <= org.geotools:gt-complex < 31.2

FOFA:

app="GeoServer" 或者body="Geoserver"

搭建环境：

使用docker 进行搭建，docker-compose.yml 如下：

version: '3'
services:
 web:
   image: vulhub/geoserver:2.23.2
   ports:
    - "8080:8080"
    - "5005:5005"

执行如下命令开启靶场

docker-compose up -d

访问目标地址 http://IP:8080/geoserver

当然也可以使用如下方法搭建：

下载sourceforge上使用较多的2.23.2版本： 
https://sourceforge.net/projects/geoserver/files/GeoServer/2.23.2/g

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）