Struts2命令执行漏洞--(升级struts至struts-2.3.28.1版本)

最新推荐文章于 2024-08-07 15:05:03 发布
最新推荐文章于 2024-08-07 15:05:03 发布
阅读量1.4k 收藏
点赞数
分类专栏: struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanchuang213/article/details/54575498
版权
本文介绍了如何修复Struts2命令执行漏洞,主要措施包括替换相关jar包并更新到指定版本,修改struts.xml配置文件以禁用动态方法调用,以及更新web.xml中的Struts2核心控制器。通过这些步骤,可以增强系统安全性和防止潜在攻击。
摘要由CSDN通过智能技术生成

一、替换jar包
     将下列jar包
commons-beanutils-1.6.jar

commons-beanutils-1.7.jar

commons-collections-2.1.jar

commons-logging-1.0.4.jar

commons-fileupload-1.2.jar
commons-io-1.3.2.jar
commons-logging-1.1.1.jar

freemarker-2.3.8.jar

log4j-1.2.14.jar

ognl-2.6.11.jar

struts2-core-2.0.11.jar

xwork-2.0.4.jar


  替换成

commons-fileupload-1.3.1.jar

commons-io-2.2.jar
commons-logging-1.1.3.jar

freemarker-2.3.22.jar

struts2-core-2.3.28.1.jar

ognl-3.0.14.jar

asm-3.3.jar(新增)

asm-commons-3.3.jar(新增)

commons-lang3-3.2.jar(新增)

javassist-3.11.0.GA.jar

最低0.47元/天 解锁文章
hanchuang213
关注
专栏目录
Struts2漏洞2.0.xx或2.3.28.1升级Struts-2.5.12
zhoujans的专栏
08-17 3108
搞了好纠结,终于被我搞定了。 1、struts2.0.X升级struts-2.5.12则删除以下原先WEB-INF/lib中jar包: 路径:..\xxx\WEB-INF\lib,删除14个jar commons-fileupload-1.2.1.jar commons-io-1.4.jar commons-lang-2.3.jar commons-logging-1.0.4.j
Struts 2.3.28.1 官方发布最新版本
04-22
Struts 2.3.28.1 官方发布的最新版本
Struts2命令空间小结
anfuyi5792的博客
06-12 53
sturts2命名空间小结,以tomcat为服务器 1. 命名空间配置为“/” <package name="default" namespace="/" extends="struts-default">   <action name="HelloWorld" class="com.venn.action.HelloWorldAction">     ...
Struts2框架漏洞(附漏洞修复方法)
最新发布
C233333235的博客
08-07 388
Apache Struts 2 最初被称为 WebWork 2,它是一个简洁的、可扩展的框架,可用于创建企业级Java web应用程序。设计这个框架是为了从构建、部署、到应用程序维护方面来简化整个开发周期。Struts 2在2007年7月23日发布的第一个Struts 2漏洞S2-001。Struts2漏洞是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。
升级Struts2版本2.3.28.1,
Revil7的博客
04-29 4061
由于Struts2版本的安全漏洞问题,需要从旧版本2.3.15.1升级2.3.28.1,碰到了一些问题,分享一下解决办法。 1.一开始只替换struts2-core-2.3.28.1这个Jar包,不出意外的404了,经过比对,必须替换的包有 struts2-core-2.3.28.1 struts2-json-plugin-2.3.28.1 xwork-core-2.3.28.1
Struts-2.0升级Struts-2.3.28.1
zhoujans的专栏
08-15 721
1、删除以下原先jar包: 删除11个jar commons-io-1.4.jar commons-logging-1.0.4.jar freemarker-2.3.8.jar javassist-3.4.GA.jar json-lib-2.1-jdk15-j4.jar jsonplugin-0.31-j4.jar ognl-2.6.11.jar struts2-codebehi
Struts2远程命令执行验证工具
11-22
Struts2漏洞检查工具,可快速检测struts命令执行漏洞,支持批量导入验证,存在可利用的漏洞后,可远程执行命令及文件上传等操作。方便管理人员了解其危害。
struts2-core-2.3.28.1.jar
04-28
struts2-core-2.3.28.1.jar
struts2-json-plugin-2.3.28.1.
04-28
struts2-json-plugin-2.3.28.1.
struts-2.3.28.1 jar包
05-06
"struts-2.3.28.1-lib"目录很可能包含了Struts 2.3.28.1所需的全部依赖库。这些库可能包括了如以下核心组件: 1. **Struts 2 Core**:提供Action、Result、Interceptor等基础架构,用于处理HTTP请求、执行业务逻辑...
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围===== S2-057 CVE-2018-11776 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 https://cwiki.apache.org/confluence/display/WW/S2-057 影响范围非常小 S2-048 CVE-2017-9791 Struts 2.3.X http://127.0.0.1:8090/struts2-showcase/integration/saveGangster.action 影响范围非常小 S2-046 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-046.html 和S2-045一样 S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影响范围较大 S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影响范围小 S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影响范围小 S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影响范围小 S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影响范围一般 S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大 S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范围内 S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范围内 S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内
Struts2远程命令执行漏洞解析
01-06
Struts2远程命令执行漏洞解析 漏洞解析 远程命令 Struts2
xwork-core-2.2.3.28.1.jar
04-28
xwork-core-2.2.3.28.1.jar
Struts 2.3.1.1 命令执行漏洞
weixin_30640291的博客
12-19 104
漏洞版本: Struts 2.3.1.1 漏洞描述: CVE ID:CVE-2011-3923 Struts2的核心使用的是WebWork框架,而WebWork通过XWork来处理用户的请求参数。Xwork的默认配置是禁止静态方法执行的,想要修改默认配置中的值,根据语法要求就必须使用#字符来表示变量,并对变量进行修改。 为了防范服务器端对象被恶意篡改,XWork的Para...
struts2升级注意几点
waj89757的专栏
03-06 2690
struts2升级注意几点   2012-07-19 10:11:55|  分类: 编程技术|字号 订阅 昨天安全组报告struts2.2之前的版本有通用漏洞,需要将其升级到最新版2.3.4,在升级过程中遇到几个问题,留贴记录 1,涉及struts2-core-2.3.4.jar,struts2-spring-plugin-2.3.4.jar,xwork-co
Struts2命令执行
Massimo__JAVA的博客
07-15 372
Struts2是一个基于MVC设计模式的JavaWeb应用框架,是在Struts和WebWork的技术的基础上进行合并的全新框架。
struts2 命令执行 (CVE-2013-2251)
qq_23003811的博客
07-16 210
struts2中,DefaultActionMapper类支持以"action:"、“redirect:”、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。通过修改whoami达到任意命令执行。如果执行66*2计算公式证明漏洞存在。
Struts2重大漏洞CVE-2017-5638:远程代码执行风险
漏洞被安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现,涉及Struts 2.3.5至2.3.31及Struts 2.5至2.5.10的版本漏洞的关键在于远程代码执行功能,黑客可以利用这个漏洞在受害服务器上通过浏览器执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值