关于struts漏洞之---/struts/webconsole.html

最新推荐文章于 2025-06-05 15:14:04 发布
转载 最新推荐文章于 2025-06-05 15:14:04 发布 · 3.3k 阅读 · 0
文章标签:

#struts #apache

本文介绍了如何通过修改Struts项目的配置文件来禁用敏感的Web控制台访问路径,避免直接暴露给外部,提供了两种有效的方法并附带实践验证。

使用扫描工具扫描出struts项目存放访问 路径:http:host:port/web//struts/webconsole.html,

刚开始以为是在项目的struts.xml配置文件中开启了开发模式,后来发现无论开启与否,甚至显式的关闭开发模式,这个链接都可以访问,

于是上网看看别人的解决办法,从先解决问题出发,按网上的办法进入如下路径:

struts2-core-*.jar\org\apache\struts2\interceptor\debugging\

删除了里面的所有静态文件,ftl,html,js,css,

再访问就变成404了,问题到此基础解决了,先交差吧,但,是否就只有这个“无奈”的解决方法呢?

于是将视线转向国外,在SO上找到如下两个自称解决办法的“办法”:

struts.xml中添加<constant name="struts.action.excludePattern" value="/struts/webconsole.html" />

web.xml中添加

<security-constraint>
  <web-resource-collection>
    <web-resource-name>OGNLconsole</web-resource-name>
    <url-pattern>*/struts/webconsole.*</url-pattern>
  </web-resource-collection>
</security-constraint>

经测试,这两种都“不能”解决问题,为什么使用双引号呢,因为如果真一点用的都没有,就干脆不用提了,

这两种方法方法都基于一种思想:权限,

第一种方法是想把某些url排除,而第二种方法也是对url进行详细配置,包括权限,

经过改良,第一种改成,必须使用 * ,不能是详细的后缀等形式

<constant name="struts.action.excludePattern" value="/static/.*" />

第二种改成正好相反,必须详细到后缀,不能使用万用格式 *

<security-constraint>
  <web-resource-collection>
    <web-resource-name>OGNLconsole</web-resource-name>
    <url-pattern>/struts/webconsole.html</url-pattern>
  </web-resource-collection>
  <auth-constraint/>
</security-constraint>

至此,经过改良,已经不需要再对jar包进行修改了,应用的配置功能得以体现。

常见框架漏洞(二)----struts2
qq_65379983的博客
03-25 592
struts框架漏洞 S2-057远程执⾏代码漏洞
Struts2 漏洞复现之s2-045
weixin_51220765的博客
12-14 3163
Struts2 漏洞复现之s2-045 原理: 在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。 影响版本: Struts 2.3.5 - Struts 2.3.31 Struts 2.5 - Struts 2.5.10 1.进入045 cd vulhub-master/struts2/s2-045 2.开启045 docker-compose up -d
st2 webconsole.html页面ognl调试1
08-08
背景:很多好伙伴说这个页面搞不了,自己也没有利用成功过,页面没有激活!struts2支持的几种调试方式:xml - Dumps the parameters,
struts2源码改造之debug
xiefangjian的专栏
04-14 2012
struts2提供了debug功能,可以通过struts/webconsole.html或static/webconsole.html进行OGNL表达式调试,而这个页面无论是否将struts.devMode配置项设为true都可以访问,总感觉有点不爽。 下面对这个功能进行改进,只有当struts.devMode配置项设为true时才允许访问webconsole.html,在org.apache.
java实现webconsole_Struts2webconsole.html(OGNL console)利用
weixin_42546392的博客
03-02 1151
前言近来,随着Struts2漏洞接二连三地被披露,企业对Struts2的心理安全指数也在降低,很多企业或者安全从业人员,在日常的安全检测或者扫描过程中有点草木皆兵,如果发现了webconsole.html页面,则判断系统存在Struts2漏洞,要求各个厂商做对应的安全整改。那么出现webconsole.html页面到底是不是Struts2的安全漏洞呢?分析首先,我们来看看Struts2框架中为什么...
html5 struts2 登录页面,如何利用Struts2webconsole.html
weixin_30336075的博客
06-03 482
满意答案qftcv2016.08.06采纳率:41%等级:6已帮助:7人首先,我们来看看Struts2框架中为什么会存在webconsole.html。在Struts的官网的Debuggin页面中,有如下一段话:The Debugging Interceptor provides three debugging modes to provide insight into the data ...
Strust2 远程代码执行漏洞[s2-005]
流水不争先,争的是滔滔不绝
05-29 900
漏洞影响版本【2.0.0 - 2.1.8.1】
struts2-045漏洞poc调试
jameson_的专栏
05-24 2156
漏洞概述:struts2默认的上传插件Jakarta Multipart parser的文件上传模块在处理文件上传含(multipart/form-data)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断Content-Type不正确的时候会抛出异常并且带上Content-Type属性值,可通过构造附带OGNL表达式的URL导致远程代码执行。 漏洞场景: 配置了s
struts2 开发者模式 webconsole.html,java - /struts/webconsole.html is still working after setting Struts2 ...
weixin_39865952的博客
06-08 216
The webconsole.html will be displayed even if you set devMode parameters to false, and even if the debugging interceptor is not in the interceptor packages at all!The struts 2 webconsole.html is displ...
struts2-OGNL表达式测试
09-28
struts2-OGNL表达式测试代码
如何关闭Struts2webconsole.html
06-29 470
出于安全目的,在禁用了devMode之后,仍然不希望其他人员看到webconsole.html页面,则可以直接删除webconsole.html 的源文件, 它的位置存在于: 我们手工删除 struts2-core-*.jar\org\apache\struts2\interceptor\debugging\ 文件夹下的browser.ftl、console.ftl、 webco...
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
wanan的博客
09-03 2374
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
src学习记录(二)
有时候,想要一块二向箔
05-12 673
如果错误信息中包含恶意语句,语句将被执行。log4j的漏洞,向服务端的jndi context lookup的时候连接自己的rmi服。关键点:st2-045的漏洞,所有问题都出现在Content-Type字段上。务器,服务端连接rmi服务器执行lookup的时候会通过rmi查询到该地址指。中写入逻辑,就会在服务端(jndi rmi过程中的客户端)实例化的时候执。黑客在自己的客户端启动一个带有恶意代码的rmi服务,通过服务端的。向的引用并且本地实例化这个类,所以在类中的构造方法或者静态代码块。
常见框架漏洞之二:struts2
gysadsadsa的博客
03-24 1638
Apache Struts 2 最初被称为 WebWork 2,它是⼀个简洁的、可扩展的框架,可⽤于创建企业级Java web应⽤程序。设计这个框架是为了从构建、部署、到应⽤程序维护⽅⾯来简化整个开发周期。■ Struts 2 是⼀个基于MVC设计模式的web应⽤框架:MVC:模型(Model)、视图(View)、控制器(Controller):■ 模型 --- 属于软件设计模式的底层基础,主要负责数据维护。■ 视图 --- 这部分是负责向⽤户呈现全部或部分数据。
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 3236
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts2部分历史漏洞复现
weixin_53747497的博客
03-03 338
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级 Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2Struts2是一个基于 MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器 (Controller)来建立模型与视图的数据交互。
Struts2漏洞复现
weixin_55010563的博客
11-22 892
问题出在Struts2-Rest-Plugin这个插件,其根据Content-Type或URI扩展名来判断用户传入的数据包类型,其中解析方法xstream在默认情况下是可以引入任意对象的(针对1.5.x以前的版本),所以,我们可以通过反序列化引入任意类造成远程命令执行漏洞,只需要找到一个在Struts2库中适用的gedget。Apache Struts框架,会对某些特定的标签的属性值,比如id属性进行二次解析,所以攻击者可以传递将在呈现标签属性时再次解析的OGNL表达式,造成OGNL表达式注入。
Struts2漏洞由浅入深
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
06-05 1062
本文围绕Apache Struts2框架中的安全漏洞展开分析,重点介绍了OGNL表达式注入漏洞的原理、成因及其利用方法。通过对典型漏洞案例的解析,揭示了攻击者如何利用漏洞执行远程代码,进而对系统造成严重威胁。同时,本文还探讨了漏洞的检测手段和防护策略,旨在帮助安全研究人员和开发者提升对Struts2漏洞的认识和防御能力,保障Web应用的安全稳定运行。
struts2-core 从2.3.32 升级到 2.5.33 如何兼容
最新发布
07-18
### ### 升级前的准备工作 在将 `struts2-core` 从版本 2.3.32 升级到 2.5.33 之前,需要对现有项目进行全面评估。Struts22.5.x 版本中引入了多项重大变更,包括模块化架构调整、默认拦截器栈重命名、安全机制增强等。这些变化可能影响已有功能的正常运行。 为了确保兼容性,建议在升级前备份所有关键配置文件(如 `struts.xml`, `web.xml`)和依赖库。同时,应使用本地测试环境进行验证,避免直接在生产环境中操作。 --- ### ### 核心依赖更新与兼容性处理 将旧版本的 `struts2-core-2.3.32.jar` 替换为 `struts2-core-2.5.33.jar` 后,需同步更新其他相关依赖包。例如: ```xml <dependency> <groupId>org.apache.struts</groupId> <artifactId>struts2-core</artifactId> <version>2.5.33</version> </dependency> <dependency> <groupId>org.apache.struts</groupId> <artifactId>struts2-convention-plugin</artifactId> <version>2.5.33</version> </dependency> <dependency> <groupId>org.apache.struts</groupId> <artifactId>struts2-json-plugin</artifactId> <version>2.5.33</version> </dependency> ``` 由于 Struts2 2.5 引入了模块化设计,部分原本集成在核心包中的功能被拆分为独立插件。若项目中使用了 JSON 数据交互或基于注解的配置方式,则必须显式引入对应的插件包[^1]。 此外,XWork 库作为 Struts2 的核心组件之一,其版本也需与新版本保持一致。确保 `xwork-core` 更新至与 Struts2 2.5.33 兼容的版本,以修复已知的安全漏洞并提升性能[^3]。 --- ### ### 配置文件与行为变更适配 Struts2 2.5 版本中,默认拦截器栈名称由 `defaultStack` 更改为 `default`,并且新增了更严格的安全限制,例如对动态方法调用(DMI)的默认禁用。因此,若项目中存在类似 `action!method` 的调用方式,需在 `struts.xml` 中启用该功能: ```xml <constant name="struts.enable.DynamicMethodInvocation" value="true"/> ``` 此外,OGNL 表达式的安全性也得到加强,默认情况下不允许执行某些高风险操作。如果业务逻辑中涉及复杂表达式或反射调用,需通过配置白名单来允许特定类或方法执行: ```xml <constant name="struts.ognl.allowStaticMethodAccess" value="true"/> ``` 在配置文件方面,需将 `struts.xml` 文件头部的 DTD 声明更新为 2.5 版本,以确保 XML 解析器正确识别新语法: ```xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd"> ``` 此更改有助于避免因版本不匹配导致的配置解析错误[^2]。 --- ### ### 参数传递与模型驱动适配 Struts2 2.5 版本继续支持属性驱动和模型驱动的参数传递方式。但在模型驱动模式下,值栈的行为有所变化,可能导致数据绑定异常。若发现字段无法正确映射,应检查是否启用了自动封装功能,并确认 Action 类实现了 `ModelDriven` 接口且正确返回了模型对象。 对于返回 JSON 数据的需求,建议使用 `struts2-json-plugin` 插件提供的 `json` 结果类型,而非手动转换。示例配置如下: ```xml <result name="success" type="json"> <param name="root">data</param> </result> ``` --- ### ### 安全加固与废弃 API 替换 Struts2 2.5.x 系列修复了多个历史安全漏洞,包括远程代码执行(RCE)和 OGNL 沙盒绕过问题。尽管如此,仍需关注官方发布的安全公告,并及时应用补丁。 部分在 2.3.x 中使用的 API 已被标记为废弃,例如 `ServletActionContext.getServletContext()` 被推荐替换为 `ActionContext.getContext().get(ServletActionContext.SERVLET_CONTEXT)`。建议使用 IDE 的“查找废弃方法”功能逐个排查并更新代码。 --- ### ### 性能优化与监控策略 合理配置拦截器栈,避免不必要的拦截器造成性能损耗。可参考以下方式定义精简的拦截器栈,仅保留必要的功能模块: ```xml <interceptors> <interceptor-stack name="minimalStack"> <interceptor-ref name="exception"/> <interceptor-ref name="alias"/> <interceptor-ref name="servletConfig"/> <interceptor-ref name="prepare"/> <interceptor-ref name="i18n"/> <interceptor-ref name="chain"/> <interceptor-ref name="modelDriven"/> <interceptor-ref name="fileUpload"/> <interceptor-ref name="staticParams"/> <interceptor-ref name="params"/> <interceptor-ref name="conversionError"/> </interceptor-stack> </interceptors> ``` 利用缓存技术,如页面片段缓存,可以显著提高响应速度。此外,使用监控工具如 Struts2 Console Plugin,实时跟踪请求处理时间、线程状态等关键指标,便于快速定位性能瓶颈。 配置详细的日志记录,尤其是对拦截器执行流程和异常信息的捕获,有助于后续的问题追踪和性能分析。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值