漏洞预警:Struts2 devMode导致远程代码执行漏洞

最新推荐文章于 2024-02-20 01:01:56 发布
最新推荐文章于 2024-02-20 01:01:56 发布
阅读量322 收藏
点赞数
文章标签: java python
原文链接:https://my.oschina.net/safedog/blog/711367
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

上个月月中Struts2的漏洞预警才出,这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过这次的漏洞,发生在devMode模式下——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。

当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

  1. <constant name="struts.devMode" value="false" />
复制代码

(原文转自freebuf)

转载于:https://my.oschina.net/safedog/blog/711367

weixin_34224941
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-008)复现
weixin_42079912的博客
08-09 391
S2-008漏洞原理:为了防止攻击者在参数中调用任意方法,标志xwork.MethodAccessor.denyMethodExecution被设置为true,并且SecurityMemberAccess字段默认allowStaticMethodAccess设置为false。 打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。 方法一:Struts...
Struts2漏洞利用工具Devmode
10-26
Struts2漏洞利用工具Devmode版 检测struts2漏洞的一款工具
Struts2 devMode远程代码执行漏洞检测利用
Fly_鹏程万里
12-14 2531
Apache Struts 2是世界上最流行的Java Web服务器框架之一,当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。 什么是devMode? 所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可...
Struts2 安全漏洞之_devMode
奔跑在路上
03-11 1782
致其依然,防患未然! 近日,国家信息安全漏洞共享平台(CNVD)收录了由启明星辰公司提交的Apache struts2 devMode远程代码执行漏洞(CNVD-2016-04656)。该漏洞产生的原因是由于开启devMode模式且Apache Struts 2官方以往修复措施未完善(溯及S2-008漏洞),远程攻击者利用该漏洞执行任意命令,进而控制服务器主机。 一、漏洞情况分析
Struts2 devMode导致远程代码执行漏洞
热门推荐
煜铭2011
07-20 1万+
一、漏洞基本信息 CVE编号:暂无 漏洞名称:Struts2 devMode导致远程代码执行漏洞 漏洞发布日期:2016.06 受影响的软件及系统:在开启devMode情况下,本漏洞可影响Struts 2.1.0--2.5.1,通杀Struts2所有版本 漏洞概述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件
Struts2漏洞利用工具
03-20
Struts2是一个基于MVC设计模式的Web...当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
Struts 2 全版本漏洞检测工具 18.09 过waf版
02-09
5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) 8、部分漏洞测试支持...
struts漏洞检测工具
11-08
struts2 漏洞检测工具 ,快速检测struts命令执行漏洞,可批量。运行环境要求:MAC/Linux下的Python2、Python3 。支持ST2-005,ST2-008,ST2-009,ST2-013,ST2-016,ST2-019,ST2-020,ST2-devmode,ST2-032,ST2-033,ST2-037...
Struts 2命令执行漏洞
a65783305的博客
06-29 236
2010年7月9日,安全研究者公布了Struts 2一个远程执行代码漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。 这个漏洞的细节描述公布在exploit-db 上。 在这里简单摘述如下: XWork通过getters/setters...
Struts2远程命令执行验证工具
11-22
Struts2漏洞检查工具,可快速检测struts命令执行漏洞,支持批量导入验证,存在可利用的漏洞后,可远程执行命令及文件上传等操作。方便管理人员了解其危害。
struts2远程命令执行漏洞
weixin_34273481的博客
06-27 386
2019独角兽企业重金招聘Python工程师标准>>> ...
struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复
Java高知社区
07-18 7063
struts2之高危远程代码执行漏洞,升级jar包地址: 1.官网下载 http://struts.apache.org/download.cgi#struts23143 2.csdn资源库下载:http://download.csdn.net/download/tjcyjd/5775605
Struts2-032/033/037/devMode漏洞演示环境搭建
乐枕的家
07-29 5108
环境搭建 安装Java(ubuntu自带的openjdk就行) 安装Tomcat apt-get install tomcat7 下载这个含漏洞版本的struts2(已验证) https://pan.baidu.com/s/1nvpkq5z 解压,将apps文件夹下的所有示例(.war)拷贝到Tomcat下(路径默认为/var/lib/tomcat7/webapps/) 启动tomcat servi
Struts2漏洞复现
qq_63980959的博客
05-19 5619
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架,本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。
Struts2框架漏洞总结与复现(下)
剁椒鱼头没剁椒的博客
02-08 2040
Apache Struts 1插件的Apache Struts 2.3.x 版本中存在远程代码执行漏洞,该漏洞出现于Struts2的某个类中,该类是为了将Struts1中的Action包装成为Struts2中的Action,以保证Struts2中的Struts1插件启用的情况下,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到ActionMessage类中,从而导致任意命令执行,进而获取目标主机系统权限。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行导致系统被黑客入侵。
Struts2漏洞
最新发布
2403_82795493的博客
02-20 2499
Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
Apache Struts2远程代码执行漏洞(S2-001)复现
oiadkt的博客
05-04 2767
Apache Struts2远程代码执行漏洞(S2-001)复现
Struts2漏洞分析:S2-008与稳定Payload探讨
S2-016通常是指CVE-2016-1000031,这是一个远程代码执行漏洞,允许攻击者通过OGNL表达式注入来执行任意命令。与S2-008类似,攻击者可以通过构造特定的URL参数来触发漏洞。 稳定Payload构造技巧: - 利用OGNL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值