struts修复GetShell漏洞,将2.1.8.1升级至2.3.28

最新推荐文章于 2024-06-27 12:42:21 发布
最新推荐文章于 2024-06-27 12:42:21 发布
阅读量2.8k 收藏 1
点赞数 1
分类专栏: Struts-框架 文章标签: struts apache java 漏洞

struts2.1.8.1升级至2.3.28步骤:

Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而不幸的是,有安全研究员在Struts 2上发现了一枚远程代码执行漏洞。 目前Apache官方已发布公告,该漏洞危险级别为高危。

正好手上有个项目的Struts版本较低,存在该漏洞,于是记录下来:

  • JAR包修改:
    – 新增jar包
     javassist-3.11.0.GA.jar
     asm-3.3.jar
     asm-commons-3.3.jar
     asm-tree-3.3.jar
     
    – 更新jar包
     commons-fileupload-1.2.1.jar —-> commons-fileupload-1.3.1.jar
     commons-io-1.4.jar —-> commons-io-2.2.jar
     commons-lang3-3.1.jar —-> commons-lang3-3.2.jar
     commons-logging-1.1.1.jar —-> commons-logging-1.1.3.jar
     freemarker-2.3.16.jar —-> freemarker-2.3.22.jar
     ognl-2.7.3.jar —-> ognl-3.0.13.jar
     struts2-convention-plugin-2.1.8.1.jar —-> struts2-convention-plugin-2.3.28.jar
     struts2-spring-plugin-2.1.8.1.jar —-> struts2-spring-plugin-2.3.28.jar
     struts2-core-2.1.8.1.jar —-> struts2-core-2.3.28.jar
     xstream-1.3.1.jar —-> xstream-1.4.8.jar
     xwork-core-2.1.6.jar —-> xwork-core-2.3.28.jar
     
     – json相关
     json-lib-2.1.jar —-> json-lib-2.3-jdk15.jar
     struts2-json-plugin-2.1.8.1.jar —-> struts2-json-plugin-2.3.28.jar
     struts2-junit-plugin-2.1.8.1.jar —-> struts2-junit-plugin-2.3.28.jar

  • 修改文档类型声明:
     – struts.xml的文档类型声明修改:
     原来:

    <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.1//EN"
        "http://struts.apache.org/dtds/struts-2.1.dtd">

    现在:

    <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN" 
        "http://struts.apache.org/dtds/struts-2.3.dtd">

   – strtus 2.3.15 版本后, 默认是关闭DMI动态调用action 方法这个功能的.
   开启该功能需要在struts.xml中, 增加了下面的配置:

    <constant name="struts.enable.DynamicMethodInvocation" value="true" />
C_ZuoYue
关注
专栏目录
Struts2漏洞2.0.xx或2.3.28.1升级Struts-2.5.12
zhoujans的专栏
08-17 3105
搞了好纠结,终于被我搞定了。 1、struts2.0.X升级struts-2.5.12则删除以下原先WEB-INF/lib中jar包: 路径:..\xxx\WEB-INF\lib,删除14个jar commons-fileupload-1.2.1.jar commons-io-1.4.jar commons-lang-2.3.jar commons-logging-1.0.4.j
Struts2漏洞检查工具2018版.exe
07-15
2018-08-24: 增加S2-057 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 此漏洞影响范围...S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内
struts-2.1.8.1(spring与struts整合)
08-15
spring与struts整合所需的jar包。 自己老项目中的jar,可以运行。 jar名称概要如下: struts2-spring-plugin-2.1.8.1.jar commons-****.jar org.apache.felix.****.jar spring-***.jar struts2-***.jar
struts2导入源码包(struts2.1.8.1
系统运维
08-15 292
在使用struts2开发和学习的过程中,我们都应该知道实时查看源码的重要性,以下笔记是使用myeclipse8.5导入struts2.1.8.1源文件的过程 首先到http://olex.openlogic.com/packages/struts/2.1.8.1下载源码包 Myeclipse导入这些源码了。 选择你的项目右键Properties--》java build pa...
Web应用安全测试-专项漏洞(一)
最新发布
06-27 1046
专项漏洞部分注重测试方法论,每个专项列举一个例子。分别有Web组件(SSL/WebDAV)漏洞、中间件相关漏洞、第三方应用相关漏洞、第三方插件相关漏洞、开发框架漏洞
struts-2.1.8.1.rar
07-21
struts.非常完整的包,所需要的都在地面。本人整理好了,希望对大家有帮助。
struts-2.1.8.1与spring2.5.6的整合
报喜鸟
08-17 110
一 说明 1)开发环境 eclipse _javaEE_3.6(Helios) jdk1.6.21 tomcat6.0.29 2)整合原因 通过spring来组织管理struts2,是结构更清晰,配置更简单。在整合了2个框架以后,用法与独立使用稍微有些不同,但原理是一样的。笔者会在下面的文章中给出来。 3)笔者的项目结构,其中log4j为可选配置,不会影响spring和stru...
struts-2.1.8.1-all.zip完整jar包
05-17
struts-2.1.8.1-all.zip完整jar包资源,值得一下
struts2-convention-plugin-2.1.8.1.jar
05-27
struts2-convention-plugin-2.1.8.1.jar
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站!...S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内
struts-2.3.28-all - .zip
05-15
7. **安全方面**:尽管Struts2是一个强大且流行的框架,但在历史版本中,例如2.3.28之前,存在一些安全漏洞,如著名的Struts2-CVE-2017-9791远程代码执行漏洞。因此,及时更新到最新版本以修复安全问题至关重要。 8...
struts-2.1.8.1的全部jar包
06-14
struts-2.1.8.1的全部jar包struts-2.1.8.1的全部jar包struts-2.1.8.1的全部jar包
struts-2.1.8.1最新最全jar包
03-12
struts-2.1.8.1最新最全jar包
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
struts1.3.15.1高危漏洞修复版ssh包
08-15
ssh1.3.15.1-struts最新高危漏洞修复版ssh整合jar包。解压后直接buildPath.
最新手工拿服务器Shell教程+工具猫魔盒+struts2漏洞利用工具+OBlogGetshell 0day
10-02
最新手工拿服务器Shell教程+工具猫魔盒+struts2漏洞利用工具+OBlogGetshell 0day
升级Struts2版本到2.3.28.1,
Revil7的博客
04-29 4059
由于Struts2旧版本的安全漏洞问题,需要从旧版本2.3.15.1升级2.3.28.1,碰到了一些问题,分享一下解决办法。 1.一开始只替换struts2-core-2.3.28.1这个Jar包,不出意外的404了,经过比对,必须替换的包有 struts2-core-2.3.28.1 struts2-json-plugin-2.3.28.1 xwork-core-2.3.28.1
Struts2 版本升级记录
行者无疆
10-12 740
1.升级原因:            使用的struts-2.1.8.jar。IBM检测出参数注入漏洞。 2.建议解决方案:升级struts2版本至struts-2.3.1或以上版本。 3.更换版本:             3.1 替换struts2-core-2.1.8.1.jar 至struts2-core-2.3.4.1.jar。             3.2
记录Struts2.1.8升级2.3.15.3过程
玄坛{ blogging }
11-13 290
structs2爆远程命令执行漏洞,影响版本:Struts 2.0.0 - Struts 2.3.15 ,原来的Struts应用需要升级Struts版本从2.1.8升级2.3.15.3: 直接替换Struts相关jar报错,需要注意: struts2-*.jar全部由2.1.8 替换为 2.3.15.3版本 增加 commons-lang3-3.1.jar (保留commons-l...
Cannot resolve org.freemarker:freemarker:2.3.28
02-15
这个问题是因为在构建项目时,系统无法解析到 org.freemarker:freemarker:2.3.28 这个依赖包。可能是因为以下几个原因: 1. 该依赖包不存在于仓库中; 2. 仓库的配置问题导致无法访问该依赖包; 3. 该依赖包已经被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值