`
shuai1234
  • 浏览: 972448 次
  • 性别: Icon_minigender_1
  • 来自: 山西
社区版块
存档分类
最新评论

struts2修复GetShell漏洞

    博客分类:
  • java
 
阅读更多

struts2.1.8.1升级至2.3.28步骤:

Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而不幸的是,有安全研究员在Struts 2上发现了一枚远程代码执行漏洞。 目前Apache官方已发布公告,该漏洞危险级别为高危。

正好手上有个项目的Struts版本较低,存在该漏洞,于是记录下来:

  • JAR包修改: 
    – 新增jar包 
     javassist-3.11.0.GA.jar 
     asm-3.3.jar 
     asm-commons-3.3.jar 
     asm-tree-3.3.jar 
      
    – 更新jar包 
     commons-fileupload-1.2.1.jar —-> commons-fileupload-1.3.1.jar 
     commons-io-1.4.jar —-> commons-io-2.2.jar 
     commons-lang3-3.1.jar —-> commons-lang3-3.2.jar 
     commons-logging-1.1.1.jar —-> commons-logging-1.1.3.jar 
     freemarker-2.3.16.jar —-> freemarker-2.3.22.jar 
     ognl-2.7.3.jar —-> ognl-3.0.13.jar 
     struts2-convention-plugin-2.1.8.1.jar —-> struts2-convention-plugin-2.3.28.jar 
     struts2-spring-plugin-2.1.8.1.jar —-> struts2-spring-plugin-2.3.28.jar 
     struts2-core-2.1.8.1.jar —-> struts2-core-2.3.28.jar 
     xstream-1.3.1.jar —-> xstream-1.4.8.jar 
     xwork-core-2.1.6.jar —-> xwork-core-2.3.28.jar 
      
     – json相关 
     json-lib-2.1.jar —-> json-lib-2.3-jdk15.jar 
     struts2-json-plugin-2.1.8.1.jar —-> struts2-json-plugin-2.3.28.jar 
     struts2-junit-plugin-2.1.8.1.jar —-> struts2-junit-plugin-2.3.28.jar

  • 修改文档类型声明: 
     – struts.xml的文档类型声明修改: 
     原来:

  • <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.1//EN" "http://struts.apache.org/dtds/struts-2.1.dtd">

    现在:

<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN" "http://struts.apache.org/dtds/struts-2.3.dtd">

   – strtus 2.3.15 版本后, 默认是关闭DMI动态调用action 方法这个功能的. 
   开启该功能需要在struts.xml中, 增加了下面的配置:

<constant name="struts.enable.DynamicMethodInvocation" value="true" />

分享到:
评论

相关推荐

    Struts2漏洞测试

    Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试...

    全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新

    这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别并修复Struts 2框架中的各种安全漏洞。 Struts 2的安全问题主要源于其OGNL(Object-Graph Navigation Language)表达式语言的使用,...

    Struts2远程命令执行漏洞解析

    Struts2远程命令执行漏洞解析 漏洞解析 远程命令 Struts2

    struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx

    今天,我们将讨论如何修复 Struts2 漏洞 S2-045 而不升级 jar 版本。 漏洞概述 S2-045 漏洞是一个严重的安全漏洞,影响 Struts2 的多个版本,包括 2.3.5-2.3.31 和 2.5-2.5.102。该漏洞是由于 Struts2 中的 ...

    struts2漏洞利用工具

    4. **修复建议**:除了利用工具,这个压缩包可能还包含针对这些漏洞的修复建议,例如更新到不受影响的Struts2版本、配置修改或添加过滤规则。 在进行漏洞利用时,需要遵循道德黑客的原则,只在获得授权的情况下对...

    Struts2漏洞检查工具Struts2.2019.V2.3

    "Struts2漏洞检查工具Struts2.2019.V2.3"是一个专门针对这些漏洞进行检测的工具,旨在帮助开发者和网络安全专业人员识别并修复Struts2框架中的安全问题。 Struts2的安全漏洞主要包括以下几类: 1. OGNL(Object-...

    Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁

    -- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper --&gt; &lt;bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class=...

    struts2 最新漏洞 S2-016、S2-017修补方案 .docx

    Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...

    Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包

    struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...

    Struts2远程代码执行漏洞分析(S2-013)1

    漏洞的成因是 Struts2 标签库中的 url 标签和 a 标签的 includeParams 属性,代表显示请求访问参数的含义,一旦它的值被赋予 ALL 或者 GET 或者 POST,就会显示具体请求参数内容。按照正常的需求,把参数 urlEncode ...

    struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017

    这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而对系统造成严重危害。 首先,s2-005漏洞(CVE-2012-0881)是2012年发现的一个严重问题,它涉及到Struts2的OGNL(Object-Graph ...

    struts1.3.15.1高危漏洞修复版ssh包

    "struts1.3.15.1高危漏洞修复版ssh包"是指针对Struts 1.3.15版本中的上述高危漏洞进行了修复的SSH框架集成包。这个修复版的包确保了系统在运行时不会受到该漏洞的影响,增强了系统的安全性。用户下载并解压这个包后...

    Apache_Struts2漏洞(S2-045,CVE-2017-5638)

    然而,就像任何其他复杂的软件系统一样,Struts2也存在安全漏洞。其中,S2-045 和 CVE-2017-5638 是一个极其严重的问题,可能导致远程代码执行(RCE),进而让攻击者完全控制受影响的服务器。 S2-045 漏洞,官方...

    Struts2漏洞检查工具2017版

    修复此漏洞需要更新Struts2的核心库到安全版本。 2. **CVE-2017-5638(S2-046)**:这同样是一个远程代码执行漏洞,与S2-045类似,它发生在Struts2的OGNL表达式处理阶段。当用户提交的数据未经充分过滤或验证,就...

    struts2漏洞修复

    该漏洞影响范围(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 ...文件包含ognl-3.0.21.jar,struts2-convention-plugin-2.3.34.jar,struts2-core-2.3.34.jar,struts2-spring-plugin-2.3.34.jar,xwork-core-2.3.34.jar

    Struts2漏洞利用工具-可用于检测

    Struts2的一个著名漏洞是CVE-2017-5638,也被称为“S2-045”或“Struts GET Shell”。这是一个远程代码执行漏洞,攻击者可以通过精心构造的HTTP请求头触发漏洞,执行任意服务器端代码。此漏洞影响了大量使用Struts2...

    struts2安全漏洞修复

    本篇文章将深入探讨Struts2的安全漏洞以及如何进行修复。 一、Struts2安全漏洞概述 1. CVE-2017-5638(Struts2 S2-045):这是一个严重影响的远程代码执行漏洞,它允许攻击者通过恶意构造的HTTP请求头来执行任意...

    struts2.3.32lib包,漏洞修复

    Struts2.3.32库包是Apache Struts框架的一...总之,Struts2.3.32lib包的发布是针对特定安全漏洞的修复措施,其目的是提高基于Struts2的应用程序的安全性,防止潜在的攻击。及时更新和维护库文件是保持系统安全的关键。

    Struts2漏洞检查工具2018版.rar

    使用这样的工具,开发者和管理员可以定期对他们的Struts2应用进行安全评估,找出这些已知漏洞,然后根据官方发布的补丁或者安全指导来修复它们。同时,了解和学习这些漏洞的原理也有助于提升安全防护意识,预防未来...

    Struts 2 全版本漏洞检测工具 18.09 过waf版

    5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) 8、部分漏洞测试支持...

Global site tag (gtag.js) - Google Analytics