0x01 生成恶意jar包

1. 下载jpress项目
   gitee地址：https://gitee.com/JPressProjects/jpress.git

2. 添加恶意代码
   打开jpress-addons->jpress-addons-helloword->src/main/java/io/jpress/addon/helloworld/HelloWorldAddonController.java 文件，并修改代码添加恶意代码如下：

try {
    Runtime.getRuntime().exec("calc");
} catch (IOException e) {
    e.printStackTrace();
}

3. 打包成jar
进入jpress根目录执行mvn clean package命令。在jpress-addons-helloword项目下得target中存在一个jar包就是我们得目标文件

0x02 漏洞复现

1. 使用弱口令登录后台（弱口令可以利用爆破完成）
2. 插件安装
   
   
   这就将恶意文件安装成功了
3. 命令执行
   这时点击插件测试，就会弹出计算器
   

0x03 解决方案

1. 加强登录口令