struts2命令执行漏洞 - 润新知

struts2命令执行漏洞

一、目的:

首先发现了带有".do"和“.action”的页面

用struts2搭建的网站而且页面上存在“.do”和“.action”的，可能会存在远程命令执行漏洞，

用awvs扫描是否存在这个漏洞，如果扫描出来有的话，就用工具去验证这个漏洞是否真的存在

二、实验

1、开启虚拟机

2、这个就是我发现的用struts2搭建的带有“.action”的页面，开始操作

3、用awvs扫描

4、验证

证明这个网站上存在远程执行命令漏洞

例如：S2-057漏洞验证过程（以下是粗略过程）

详细请参考：https://blog.csdn.net/weixin_43625577/article/details/97111575

<constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />
相关阅读:
怎么在java 8的map中使用stream
在java 8 stream表达式中实现if/else逻辑
 Lambda表达式最佳实践
 java并发Exchanger的使用
 java中functional interface的分类和使用
 java 8 Streams简介
 一篇文章让你彻底弄懂SSL/TLS协议
 基于口令的密码（PBE）
更加安全的密钥生成方法Diffie-Hellman
有关密钥的最全总结都在这了
原文地址：https://www.cnblogs.com/1996-11-01-614lb/p/14263004.html

Copyright © 2020-2023 润新知