struts2命令执行漏洞

一、目的:

首先发现了带有".do"和“.action”的页面

用struts2搭建的网站而且页面上存在“.do”和“.action”的，可能会存在远程命令执行漏洞，

用awvs扫描是否存在这个漏洞，如果扫描出来有的话，就用工具去验证这个漏洞是否真的存在

二、实验

1、开启虚拟机

struts2命令执行漏洞

2、这个就是我发现的用struts2搭建的带有“.action”的页面，开始操作

struts2命令执行漏洞

3、用awvs扫描

struts2命令执行漏洞

struts2命令执行漏洞

4、验证

struts2命令执行漏洞

证明这个网站上存在远程执行命令漏洞

struts2命令执行漏洞

例如：S2-057漏洞验证过程（以下是粗略过程）

详细请参考：https://blog.csdn.net/weixin_43625577/article/details/97111575

struts2命令执行漏洞

struts2命令执行漏洞

<constant name="struts.mapper.alwaysSelectFullNamespace" value="true" /> struts2命令执行漏洞

struts2命令执行漏洞

struts2命令执行漏洞

struts2命令执行漏洞

struts2命令执行漏洞

struts2命令执行漏洞

struts2命令执行漏洞

struts2命令执行漏洞

相关文章：

猜你喜欢

2021-11-22
2021-07-23
2021-07-11
2021-10-19
2021-12-23

相关资源

下载 2022-12-07
下载 2023-02-01
下载 2021-06-06
下载 2023-02-01

相似解决方案

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode