struts2.3.32升级到2.5.30终极版

最新推荐文章于 2024-07-25 15:17:04 发布
最新推荐文章于 2024-07-25 15:17:04 发布
阅读量2.7k 收藏 4
点赞数
分类专栏: 杂乱 文章标签: 服务器 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lichongxyz/article/details/125102631
版权
  1. 最近struts2出现漏洞,攻击者可以远程执行代码命令,上传木马文件至服务器,获取服务器控制权限等。
  2. 修补建议 官方已发布了安全补丁,建议将struts2升级到 2.5 或以上。

1.下载struts2.5.30依赖包

Index of /dist/struts/2.5.30

下载struts-2.5.30-min-lib.zip 这个文件

解压后文件如下:

删除log4j-api-2.12.4.jar文件中的META-INF\versions\9META-INF\versions\9\module-info.class文件,不删启动会报错。

解压后的jar文件拷贝到工程中的3rdLib/struts2目录中.

在WEB-INF/lib和3rdLib/struts2目录中删除旧的jar文件,jar文件如下:

 

 

2.下载log4j2.12.1

struts2.5.30需要apache-log4j-2.12.1版本。

下载地址:

http://archive.apache.org/dist/logging/log4j/2.12.1/apache-log4j-2.12.1-bin.zip

解压后的文件log4j-core-2.12.1.jar拷贝到3rdLib/struts2目录中.

所有替换完的jar包结构如下:

拷入配置文件:log4j2.component.properties

log4j2.component.properties文件考本到src\main\resources目录

文件内容如下:

log4j2.loggerContextFactory=org.apache.logging.log4j.core.impl.Log4jContextFactory

log4j.configurationFile=log4j2.xml

拷入配置文件:log4j2.xml

log4j2.xml文件考本到src\main\resources目录

文件内容如下:

<?xml version="1.0" encoding="UTF-8" standalone="no"?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/2002/xmlspec/dtd/2.10/xmlspec.dtd">

<!--日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL -->

<!--Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出 -->

<!--monitorInterval:Log4j能够自动检测修改配置 文件和重新配置本身,设置间隔秒数 -->

<configuration status="TRACE" monitorInterval="300">

<!--先定义所有的appender -->

<appenders>

<!--这个输出控制台的配置 -->

<console name="Console" target="SYSTEM_OUT">

<!--输出日志的格式 -->

<PatternLayout

pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n" />

</console>

<!--文件会打印出所有信息,这个log每次运行程序会自动清空,由append属性决定,这个也挺有用的,适合临时测试用 -->

<File name="log" fileName="=D:/GENDMS_FILE/logs/test.log" append="false">

<PatternLayout

pattern="%d{HH:mm:ss.SSS} %-5level %class{36} %L %M - %msg%xEx%n" />

</File>

<!-- 这个会打印出所有的info及以下级别的信息,每次大小超过size,则这size大小的日志会自动存入按年份-月份建立的文件夹下面并进行压缩,作为存档 -->

<RollingFile name="RollingFileInfo"

fileName="D:/GENDMS_FILE/logs/info.log"

filePattern="D:/GENDMS_FILE/logs/$${date:yyyy-MM}/info-%d{yyyy-MM-dd}-%i.log">

<!--控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch) -->

<ThresholdFilter level="info" onMatch="ACCEPT"

onMismatch="DENY" />

<PatternLayout

pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n" />

<Policies>

<TimeBasedTriggeringPolicy />

<SizeBasedTriggeringPolicy size="100 MB" />

</Policies>

</RollingFile>

<RollingFile name="RollingFileWarn"

fileName="D:/GENDMS_FILE/logs/warn.log"

filePattern="D:/GENDMS_FILE/logs/$${date:yyyy-MM}/warn-%d{yyyy-MM-dd}-%i.log">

<ThresholdFilter level="warn" onMatch="ACCEPT"

onMismatch="DENY" />

<PatternLayout

pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n" />

<Policies>

<TimeBasedTriggeringPolicy />

<SizeBasedTriggeringPolicy size="100 MB" />

</Policies>

<!-- DefaultRolloverStrategy属性如不设置,则默认为最多同一文件夹下7个文件,这里设置了20 -->

<DefaultRolloverStrategy max="20" />

</RollingFile>

<RollingFile name="RollingFileError"

fileName="D:/GENDMS_FILE/logs/error.log"

filePattern="D:/GENDMS_FILE/logs/$${date:yyyy-MM}/error-%d{yyyy-MM-dd}-%i.log">

<ThresholdFilter level="error" onMatch="ACCEPT"

onMismatch="DENY" />

<PatternLayout

pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n" />

<Policies>

<TimeBasedTriggeringPolicy />

<SizeBasedTriggeringPolicy size="100 MB" />

</Policies>

</RollingFile>

</appenders>

<!--然后定义logger,只有定义了logger并引入的appender,appender才会生效 -->

<loggers>

<!--过滤掉spring和mybatis的一些无用的DEBUG信息 -->

<logger name="org.springframework" level="INFO"></logger>

<logger name="org.mybatis" level="INFO"></logger>

<root level="all">

<appender-ref ref="Console" />

<appender-ref ref="RollingFileInfo" />

<!--appender-ref ref="RollingFileWarn" /-->

<appender-ref ref="RollingFileError" />

</root>

</loggers>

</configuration>

日志结构如下:

3.修改struts.xml文件

头部改为:

<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd">

增加DynamicMethodInvocation配置

<constant name="struts.enable.DynamicMethodInvocation" value="true"/>

修改后如下:

4.修改web.xml文件

  <filter>

        <filter-name>struts2</filter-name>

        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>

    </filter>

修改为

<filter>

     <filter-name>struts2</filter-name>

     <filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class>

  </filter>

去掉ng

 

 

处理启动报错

jar包冲突

 

删除jaxb下的 xercesImpl-2.6.2.jar 解决启动报错

jar包类找不到,把原本来的class字节码复制到新版本

 

解决方案把原来2.3版本的class字节码添加到2.5版本下,如下

 

两个字节码放到 org/apache/struts2/dispatcher

ServletDispatcherResult.class

StrutsResultSupport.class

启动日志报错

原来日志如下: 

 

 日志文件修改如下:

 

lichongxyz
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2.3.32升级struts2.5.26
初级驾照的博客
12-09 8982
下载struts2.5.26jar包 官网下载 更新jar 新增或替换 commons-io-2.6.jar log4j-api-2.12.1.jar ognl-3.1.28.jar struts2-core-2.5.26.jar struts2-json-plugin-2.5.26.jar struts2-junit-plugin-2.5.26.jar struts2-spring-plugin-2.5.26.jar 删除 xwork-core-2.3.32.jar 修改web.xml <fil
Struts2.3.15.1版本升级到2.3.32详细流程
12-13
Struts2.3.15.1版本升级到2.3.32版本详细流程,可解决Struts 2远程执行代码漏洞
NO.90 Struts2.3.15.1升级总结
热门推荐
AmosRyan--整体的局部还是整体,宇宙之外还是宇宙
08-26 1万+
由于大家都懂的原因,涉struts2的项目需要将struts2相关包升级至2.3.15.1。今将升级方法和常见问题解决简单总结如下。 一、基本升级操作 1. 获取Struts2.3.15.1jar包 从Struts官网下载struts2.3.15.1发布包: http://apache.fayea.com/apache-mirror//struts/library/
2024年最新【项目精选】基于struts+hibernate的采购管理系统,入职3个月的大数据开发程序员面临转正
2401_84181309的博客
05-05 610
本课题的目的是使企业采购信息管理清晰化,透明化,便于操作,易于管理。在传统的企业采购信息管理中,其过程往往是很复杂的,繁琐的,企业采购信息管理以企业采购信息管理为核心,在此过程中又需要经过若干道手续,因为整个过程都需要手工操作,效率十分低下,且由于他们之间关联复杂,统计和查询的方式各不相同;国外,大卫.琼斯在其著作《采购原理与管理》一书中说,采购的角色发生了变化,采购不再被认为是例行公事的或行政性的订购活动,即采购不再仅仅是订购或购买,而是具有战略作用的,关乎从原材料到使用和弃置整个过程的物料流动。
struts2.3.32升级2.5.26
qq_38572473的博客
01-26 988
由于struts漏洞,现必须将struts升级2.5.26版本 需升级jar包 1.Struts2-core2.5.26 2.Commons-lang3 3.8.1 3.Ognl 3.1.28 需添加jar包 Log4j-api-2.12.1 需删除jar包 xwork-core(因为新版Struts2-core中已包含xwork-core) 需修改的文件 所有的struts.xml文件 头改成<!DOCTYPE struts PUBLIC "-//Apache Software F
Struts2.3.32升级Struts2.5.26详细步骤(无敌版)
weixin_41271981的博客
12-24 7982
Struts2真是三天两头爆出漏洞来,特别是一爆出漏洞就建议升级到最新版,也是无语的,并且最新版相比老板还相差挺大的,这部这次需要从Struts2.3.32一下子就必须升级到最新版,这可让人头大,谷歌百度了几天都没有解决方案,大概是因为每个人的项目都是不同的吧,有些用纯注解,有些用配置文件,所以可能适合你的解决方案却不适合别人,最终还是得靠自己解决,下面整理了一下我的解决方案,其中有些错误只能通过修改源码来搞定的。 ###一、项目背景 这里先要说一下要升级的项目背景,因为不同架构的项目升级方法可能有差异,我
struts2升级2.5.30笔记
qq_32894923的博客
05-07 1775
1、项目中使用了xwork-core-2.3.32,需要去掉,因为struts22.5以上版本已经将xwork合并; 2、其余替换的jar包 3、struts.xml,头部 修改为struts-2.5.dtd 3.1增加<constant name="struts.enable.DynamicMethodInvocation" value="true"/> <constant name="struts.enable.SlasheInActionName...
struts2 2.3.32 升级2.5.10.1
博博菲菲的博客
09-21 3134
最近struts2频繁发布高危漏洞,升级工作必不可少,以下是我升级的过程,供大家参考,希望能帮到大家。因为S2-048漏洞问题,需要对struts2的版本进行升级。1、 首先进行jar包替换,将低版本的包替换成高版本。(左边为替换前,右边是替换后,中途删除了一些不必要的包) 2、 替换了jar包后,可能会文件处理的方法报错,如下改成以下就可以了:3、 修改web.xml配置上面这个配
struts2 框架升级从2.3.*,升级2.5.30
ld851的博客
04-19 4117
问题描述: struts2 升级从2.3.*,升级2.5.30 ,替换了structs相关jar,如果出现如下报错: `ispatcher initialization failed Unable to load configuration. - bean - jar:file:/home/ds/556/dataservices/webapps/manager/WEB-INF/lib/struts2-core-2.5.30.jar!/struts-default.xml:152:154 at com
Struts2升级版本到2.5.30遇到的一些问题和解决方式
于采柳的博客
04-21 4622
一、背景 由于Struts2被爆出了远程执行漏洞需要升级版本到2.5.30解决 目前程序使用的struts2-core版本是2.3.32,spring版本是2.5.6,commons-lang3版本是3.1,jdk版本1.6 maven项目管理 二、解决方案 升级Struts2-core包版本,升级jdk版本,升级spring版本 升级Struts2-core包版本,升级jdk版本 三、解决过程 首先在pom文件中升级Struts2-core包的版本至2.5.30进行个简单的编译看有什么变化,结果
升级struts2版本2.3.22到2.5.30踩过的坑
kotorildc的博客
05-27 911
升级struts2版本2.3.22到2.5.30过程
struts-2.3.35 升级jar包
08-23
Struts 2.3.35版本包含了所有必要的jar包,用于将现有的Struts 2应用程序从旧版本升级到这个更安全的版本。这一步通常涉及到替换Web应用中的旧jar文件,以确保所有的功能与最新的安全补丁兼容。 在进行Struts 2框架...
Struts 2.5.10.1(Struts 2.3.32)
03-09
struts-2.5.10.1和struts-2.3.32 官方发布最新版本 lib包,官方发布最新版本 lib包,可预防高危漏洞Apache struts2 S2-045远程代码执行漏洞(CNVD-2017-02474,对应CVE-2017-5638)风险预警
2017年Struts漏洞修复:版本从2.3.15.1升级到2.3.32
04-26
本篇将详细介绍从Struts版本2.3.15.1到2.3.32的漏洞修复过程及其重要性。 首先,了解Struts的工作原理至关重要。Struts框架基于Model-View-Controller(MVC)设计模式,它处理HTTP请求,将这些请求映射到相应的...
struts2.3.32版本升级升级步骤
04-13
Apache官方已针对该漏洞发布安全公告,ApacheStruts 2.3.5 – 2.3.31版本及2.52.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入...
linux ftp操作记录
m0_74318255的博客
07-24 274
你需要首先确认FTP用户是否是系统用户,还是FTP服务器软件(如Pure-FTPd)使用虚拟用户。如果你的FTP服务器使用系统用户,那么你需要先创建该用户。的错误,这意味着系统中不存在名为。这将创建一个新的系统用户。
nfs服务器+配置autofs自动挂载
nianwan2157的博客
07-23 1024
这个服务是在客户端的上面,它会持续的检测某个指定的目录,并预先设置当使用到该目录的某。脱机都可能造成另外一方等待超时。文件系统的使用过程中,如果客户端要使用服务端所提供的文件系统,可以在。服务器与客户端的连接不会一直存在,当我们挂载了。文件中写入的命令,在每次启动系统用户。文件系统的需求时才让系统自动挂载。文件系统资源,并进行自动挂载的操作。个子目录时,将会取得来自服务器端的。本地端目录 具体挂载配置文件。本地端子目录 挂载参数 服务器。中设置开机时自动挂载(服务器之后,任何一方。文件系统使用完毕后,让。
Linux - 进程间通信
最新发布
weixin_64099089的博客
07-25 832
进程间通信的方式
freemarker版本2.3.32找不到is_json这个内建函数
07-15
非常抱歉,我之前的回答有误。确实,FreeMarker 2..32 版本中没有 `is_json` 这个内建函数。抱歉给你带来了困扰。 要判断一个字符串是否为有效的 JSON,你可以使用 FreeMarker 的 `json` 内建函数结合 `?is_string` 内建函数来实现。具体步骤如下: 1. 通过 `?is_string` 内建函数判断字符串是否有效。 2. 如果字符串有效,使用 `json` 内建函数尝试解析为 JSON 对象。 3. 如果解析成功,则说明是有效的 JSON;如果解析失败,则说明不是有效的 JSON。 以下是示例代码: ```freemarker <#assign jsonString = '{"name": "John", "age": 30}'> <#assign json = jsonString?is_string ? json> <#if json??> <!-- 字符串是有效的 JSON --> <#else> <!-- 字符串是普通字符 --> </#if> ``` 在上面的示例中,我们使用了一个简单的 JSON 字符串 `{"name": "John", "age": 30}` 进行判断。你可以将 `jsonString` 变量替换为你要判断的字符串变量。 请注意,使用 `json` 内建函数解析字符串为 JSON 对象时,如果字符串不是有效的 JSON 格式,将会抛出异常。你可以使用 `?catch` 内建函数来捕获异常并处理错误情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值