Struts2框架介绍及其漏洞实战

最新推荐文章于 2024-07-07 15:20:41 发布
最新推荐文章于 2024-07-07 15:20:41 发布
阅读量307 收藏
点赞数
分类专栏: Hacker Way 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45650712/article/details/107966039
版权

Struts2框架介绍及其漏洞实战

一、Struts2框架介绍
在这里插入图片描述
在这里插入图片描述
Struts介绍:

  1. Mvc框架
  2. 来源于webwork2,与1不兼容
  3. 运行环境是web容器
  4. 可多人协同,适合复杂可拓展到web应用
  5. 用的ognl为表达式引擎
  6. Xwork为struts2底层核心
    二、安装struts2、nmap、goby

在这里插入图片描述
安装nmap
参考:https://blog.csdn.net/meyo_leo/article/details/77918511
在这里插入图片描述
安装goby
在这里插入图片描述
三、Goby介绍:
在这里插入图片描述
在这里插入图片描述
这里以扫描web靶机为例进行阐述:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
案例:
利用struts2漏洞检查工具进行检查
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
四、Struts2漏洞利用
① Sql注入
② Xss
③ Struts
④ 越权
⑤ Sqlmap
⑥ Burp
⑦ nmap
在这里插入图片描述

五、任意修改密码漏洞讲解:
搭建相关环境:
在这里插入图片描述
在这里插入图片描述
进入系统:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
密码:123456
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
六、任意修改密码漏洞实战:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
用修改后的密码即可登陆成功!!!
在这里插入图片描述
后续操作请持续关注哦!!!
了解更多请关注下列公众号:
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗
在这里插入图片描述
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

永不垂头
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黑马程序员struts2框架2016版资料(笔记+源码+思路图)
04-24
Struts2历史上曾出现过一些安全漏洞,例如著名的CVE-2017-5638,因此在使用时应保持框架版本更新,确保安全性。 11. **实战应用**: 黑马程序员的资料中,通过`day01.zip`至`day04.zip`的分阶段学习,可以逐步...
Struts2.x 项目实战
04-23
安全方面,Struts2.x框架在历史版本中曾出现过一些安全漏洞,例如著名的Struts2 S2-045漏洞,但随着版本迭代,这些问题得到了修复,开发者应及时更新到最新稳定版以保证安全性。 项目实战中,你需要了解并实践以下...
struts2反序列化漏洞挖掘(s2-046)
siu~
09-26 449
本文只聚焦于实战情况下如何从黑盒角度发现漏洞到利用漏洞的过程。
Struts2 远程代码执行漏洞复现(附Struts2漏洞检测工具)
告白的博客
02-24 6959
Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行,
第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结
ABC_123的博客
05-29 1924
Part1 前言Log4j2漏洞出现有大半年的时间了,这个核弹级别的漏洞危害很大,但是这个漏洞检测起来却很麻烦,因为黑盒测试无法预判网站哪个应用功能在后台调用了log4j2记录日志功能。目前通用的做法就是使用burpsuite插件进行被动扫描,原理就是把所有与用户交互参数都用各种log4j2检测payload测试一遍,然后观察DNSlog中有没有访问记录。这个漏洞检测............
struts2 CVE-2020-17530漏洞复现
Armandhe的博客
06-08 785
我丝毫不敢休息,又肝了一篇
网络安全---渗透测试---框架漏洞-ThinkPHP5.0、Struts2
weixin_52796034的博客
11-05 843
反弹shell(Reverse Shell)是一种计算机安全和网络攻击技术,通常被用于与远程目标系统建立命令行交互式连接。这个连接允许攻击者在远程系统上执行命令,获取系统访问权限,以及进行横向移动和数据操作。反弹shell的工作方式如下:攻击者和目标系统之间建立连接:通常,攻击者首先在目标系统上部署一个恶意程序(例如Trojan或后门),该程序会与攻击者的控制服务器建立连接。目标系统反弹连接:一旦恶意程序在目标系统上执行,它会尝试与攻击者的控制服务器建立连接。
Struts2反序列化漏洞复现_strust2反序列化 修复,2024年最新网络安全开发还不会这些
2301_78146994的博客
04-18 487
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
Struts2框架下Log4j2漏洞检测方法分析与总结
最新发布
Hacker_j1的博客
07-07 1143
叒有一段时间没写文章了,正好周末有时间就来写写,本文来讲讲有关SQL注入相关的知识点会尽可能详细的写出来,比较适合刚入门安全的小白进行学习,希望能在面试或实战中助你一臂之力。如有大佬发现文中内容有错误的地方恳请斧正!也欢迎各位师傅共同交流学习技术!
struts2 漏洞分析 及解决办法
热门推荐
浩子的博客
12-16 1万+
1.讨论关于struts 安全问题。 2.黑客文化。 3.如何降低安全漏洞的出现。 4.忠告建议。 题记: 这篇文章本来很早应该和大家见面的,中间由于个人原因调整了系列文章发布时间,实属罪过。为了不误导大众文章中间讲述的经历想法实战,均属个人看法个人行为不代表任何团体及组织。观看者请保留自己的想法观点!欢迎各位热爱编程的技术人员交流。废话不多,开始正文。 1.讨
Struts2_032_RCE CVE-2016-3081 漏洞复现
ADummy的博客
02-19 975
Struts2_032_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行—>有回显 0x01漏洞Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑
Struts2源码
06-22
4. **Struts2的安全问题**:了解并防止Struts2的XSS、CSRF等安全漏洞。 5. **插件机制**:Struts2的插件扩展能力,如Struts2-dojo-plugin、Struts2-convention-plugin等。 结合源码阅读和PPT讲解,你可以逐步掌握...
Struts2极速表单验证框架(注解)
04-08
本篇将详细Struts2的极速表单验证框架,特别是其注解方式的使用。 ### 1. 表单验证的重要性 在Web应用程序中,验证用户输入的数据是必不可少的,因为不正确的数据可能导致业务逻辑错误,甚至安全漏洞Struts2...
Struts2学习全面资料
10-25
Struts2是一个强大的Java web开发框架,用于构建和维护可扩展、具有良好架构的Web应用程序。它是基于MVC(Model-View-Controller)设计模式的,旨在简化开发过程,提高代码的可重用性和可测试性。这个“Struts2学习...
简单入侵操作
永不垂头的博客
06-30 9703
学习笔记—简单入侵操作 趁别人不在的时间操作他人电脑 打开cmd 输入:net share c$=c:\(将他的磁盘共享出去,同时也要打开电脑上的允许远程操控权限) 然后ipconfig下,记录他的ip 写好.bat脚本。 net user admin 123456 /add net localgroup administrators admin /add shutdown -s -t 60 -c “这个年纪你睡得着觉?” 从本机cmd上输入net use k: \192.168.1.103\c$
解决kali不显示网卡
永不垂头的博客
07-10 7664
学习笔记—解决kali不显示网卡 状况图 首先在本机检查vm服务是否开启 服务开启后进入vi /etc/network/interfaces 编辑,添加 auto eth0 iface eth0 inet dhcp wq保存退出 /etc/init.d/networking restart 重启网卡恢复正常 了解更多请关注下列公众号: 了解更多请关注下列公众号: ...
资产收集的方法总结
永不垂头的博客
02-01 6056
资产收集的方法总结 文章目录资产收集的方法总结前言一、资产收集基本名词概念二、相关收集方法1.fofa2.google搜索语法3.logo4.favicon.ico5.关键字6.维基百科7.天眼查,企查查8. 微信公众号9. APP10.在线接口查询三、我的公众号 前言 很多人以为资产收集就是信息收集,刚开始我也是这样认为的,其实信息收集包含资产收集但不限于资产收集,信息收集包含whois,真实IP,网站架构,子域名收集,敏感目录,DNS信息,旁站,C段,端口等;而资产收集主要收集IP和域名,找到属于目标的
Dvwa csrf之low、medium、high级别漏洞实战
永不垂头的博客
08-11 5073
Dvwa csrf低中高级别漏洞实战 Low 源代码如下: GLOBALS:引用全局作用域中可用的全部变量。GLOBALS :引用全局作用域中可用的全部变量。GLOBALS:引用全局作用域中可用的全部变量。GLOBALS 这种全局变量用于在 PHP 脚本中的任意位置访问全局变量(从函数或方法中均可)。PHP 在名为 $GLOBALS[index] 的数组中存储了所有全局变量。变量的名字就是数组的键。 从源代码可以看出这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。 相等的话,查看
Struts 2 框架实战解析
"Struts 2 in Action 是一本关于Struts2框架实战书籍,由Donald Brown、Chad Michael Davis和Scott Stanlick合著,由Manning出版社出版。本书提供了Struts2框架的深入理解和实践指导。" Struts 2是Java Web开发中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值