【实验】如何本地搭建Struts2框架对S2-045漏洞进行利用

最新推荐文章于 2024-06-24 08:00:00 发布
最新推荐文章于 2024-06-24 08:00:00 发布
阅读量332 收藏
点赞数
原文链接:https://my.oschina.net/u/1399599/blog/869636
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一:搭建struts2

1.整个工程架构图:

11.png

2.所需要的jar包,注意struts2的包要在Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10之间选择

22.png

3.UploadAction.java:

33.png

4.struts.xml文件:

44.png

5.index.jsp文件

55.png

6.web.xml文件

66.png

部署工程然后执行,本地测试工程可以正常上传照片后进行漏洞利用

二:漏洞利用以及遇到的错误解决

1.漏洞利用工具“Struts2_045-Poc-master”下载地址:

https://github.com/tengzhangchao/Struts2_045-Poc

1.png

2.解压缩,在文件中打开命令行窗口执行命令:

python s2_045_cmd.py http://127.0.0.1/fileUpload/upload.action 

遇到问题1:

3.png

解决问题方法:

下载poster模块,下载地址:http://download.csdn.net/download/mrcongshansheng/9170469

解压缩后将文件都拷贝到漏洞利用工具文件夹下

99.png

接着执行命令,遇到问题2:

4.png

解决问题:在s2_045_cmd.py文件头中指定要使用http1.0协议,添加以下三行代码:

00.png

再次执行命令成功,成功后就可以利用CMD口令对其进行利用

5.png

转载于:https://my.oschina.net/u/1399599/blog/869636

weixin_34104341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
修复struts2的安全漏洞(编号S2-045S2-046)
07-18
给还用struts2框架的系统提供一个完美的解决方案,里面的struts2版本jar都统一好,大家在用的时候直接将对应的jar先删除,然后用这里面的jar包。必免jar冲突了
S2-045环境搭建简单记录
gibbs_的博客
05-05 769
S2-045漏洞版本的下载地址: http://archive.apache.org/dist/struts/2.3.24/ 安装jdk sudo apt-get install openjdk-8-jre 下载安装tomcat: https://tomcat.apache.org/download-70.cgi 解压 tar –xzvf apache-tomcat… cd后 在bin目录下直接运行./startup.sh (也可以放到别处在运行,运行时用户是谁,tomcat权限就是谁)
Struts2 S2-045 远程代码执行漏洞(CVE-2017-5638)
最新发布
qq_68163788的博客
06-24 662
Struts2是一个基于MVC设计模式的流行且成熟的Web应用程序框架. Struts2不仅仅是Struts 1的新版本,它完全重写了Struts架构.Webwork框架最初以Struts框架为基础,其目标是提供一个基于Struts的增强和改进的框架,使开发人员更容易进行Web开发.过了一段时间,Webwork框架和Struts社区携手创建着名的Struts2框架.(也可以将struts2比作于一个大的servlet当基于Jakarta插件上传文件时,可导致远程代码执行。
struts2搭建
weixin_38482723的博客
06-28 151
首先下载struts2的开发包     Struts2的官网:https://struts.apache.org/然后解压后的目录结构如下apps:这个文件夹下存放的是struts2示例程序,也就是给我们学习struts2 的时候打个样docs:存放的是官方提供的struts2文档,包括struts2的快速入门、struts2的文档,以及API文档等内容lib:这个文件夹存放的是struts2的核...
struts2项目搭建
weixin_43565620的博客
10-31 189
1:新建一个普通的javaweb项目 2:新建视图层jsp页面 注册页面信息和接收信息页面:     3:新建一个控制层 RegisterAction 类       4:在web-inf 下的lib 里边添加Struts2所需要的jar包     5:在web.xml中配置Struts2的过滤器 6:在src下新建一个请求分发的配置文件 ...
Struts2项目搭建步骤
m0_43425898的博客
10-30 268
1:打开MyEclipse,新建一个普通的javaweb项目 可大致分为以下6个步骤: 里面的代码为简单的用户传递: 2:新建视图层 jsp页面 新建之后出现如下窗口,可自定义jsp页面的名字 以下是register.jsp页面的代码 <%@ page language="java" import="java.util.*" pageEncoding="UTF-8&qu
struts-2.5.16-源码+示例(S2-057漏洞演示环境)
08-24
S2-057漏洞,全称为"Struts2 OGNL注入漏洞",主要源于Struts 2框架处理用户输入时的不当验证和处理。OGNL (Object-Graph Navigation Language) 是一种强大的表达式语言,用于获取和设置Java对象的属性。在Struts 2中...
struts2-2.3.32-all
03-08
为了修复这个漏洞Struts2发布了2.3.32版本,这是一个安全更新,包含了对S2-045漏洞的补丁。升级到此版本可以保护系统免受利用漏洞的攻击。"lib"文件夹中的内容很可能是所有必需的库文件,这些文件是Struts2框架...
struts2 2.3.4最新版本
01-06
在实际开发中,开发者还需要关注Struts2的安全问题,如Struts2 S2-045S2-048等漏洞,及时更新到最新版本以防止安全风险。 总的来说,Struts2 2.3.4是一个包含源代码和运行库的版本,它提供了一个强大的MVC框架,...
Struts2.1.8框架研究指南
03-30
Struts2.1.8也存在一些已知的安全漏洞,如著名的S2-045远程代码执行漏洞。因此,及时更新到安全的框架版本,配合合理的安全配置和最佳实践,是防止潜在攻击的关键。 总之,Struts2.1.8框架的研究不仅涉及基础的MVC...
Struts2Demo1
01-06
虽然Struts2强大,但历史上曾出现过一些安全漏洞,例如著名的Struts2 S2-045漏洞。因此,在使用Struts2开发时,必须关注框架的安全更新,及时修补可能的安全风险。 总的来说,Struts2作为一款成熟的MVC框架,其...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
04-26
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apach e.struts/struts2-spring-plugin/2.3.32
K8_Struts2_EXP S2-045 & 任意文件上传 20170310
09-15
K8_Struts2_EXP S2-045 & 任意文件上传 20170310,无密码,2017版,最新版
Struts2-045漏洞利用工具
08-11
Struts2-045漏洞利用工具
【研究】struts2-045漏洞
weixin_30379973的博客
09-08 169
攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程代码执行。 工具: K8(链接:https://pan.baidu.com/s/1kVxgFNx 密码:ygxf) Tomcat(链接:https://pan.baidu.com/s/1dFizMYt 密码:enpl) struts-2.3.31-all(https://archive.apache.org/dist...
struts2搭建简单测试程序
07-27 100
1.导入必要的jar包 2.新建一个struts.xml的总的配置文件 3.配置web.xml文件 4.部署如下: 5.struts.xml <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Con...
漏洞复现 - - -Struts2(s2-045)远程命令执行漏洞
weixin_67503304的博客
08-22 7424
从源码的角度分析Struts2(s2-045)远程命令执行漏洞利用java详细讲解造成漏洞的原因,包含了Structs2高危漏洞exp的扫描利用工具
struts2 s2-045漏洞利用poc
isinstance的博客
03-10 6769
直接上代码了亲测有用 第一个是检测有没有这个漏洞的 import requestsimport sys def poc(url): payload = "%{(#test='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#con
apache struts2框架命令执行漏洞(s2-045s2-046)
01-11
Apache Struts2框架是一种流行的开源Web应用程序开发框架,但曾经发生过多个命令执行漏洞,其中包括s2-045s2-046漏洞s2-045漏洞源于在处理远程表达式语言(OGNL)时存在安全漏洞,攻击者可以利用构造特定的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值