[随波逐流]CTF Flags

随波逐流信息安全网 www.1o1o.xyz

   [随波逐流]CTF Flags

软件版本:v1.0.0   数据版本: v20260526
返    回

struts-s2-008 代码执行 (CVE-2012-0391)

 广告模块
ID: 16653
标题: struts-s2-008 代码执行 (CVE-2012-0391)
描述: struts-s2-008 代码执行 (CVE-2012-0391) vulfocus/struts-s2-008:latest S2-008 涉及多个漏洞,Cookie 拦截器错误配置可造成 OGNL 表达式执行,但是由于大多 Web 容器(如 Tomcat)对 Cookie 名称都有字符限制,一些关键字符无法使用使得这个点显得比较鸡肋。另一个比较鸡肋的点就是在 struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令,正如 kxlzx 所提这种情况在生产环境中几乎不可能存在,因此就变得很鸡肋的,但我认为也不是绝对的,万一被黑了专门丢了一个开启了 debug 模式的应用到服务器上作为后门也是有可能的。
类型: WEB
网站: vulfocus
题目链接: https://vulfocus.cn
赛事: None
年度: None
Flag值: None
writeup: 登录 https://vulfocus.cn 搜索struts-s2-008 代码执行 (CVE-2012-0391)
答案错误,我要更正