溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹如何進行Struts2 s2-059 CVE-2019-0230漏洞驗證,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
Struts-2.3.37+apache-tomcat-8.5.34
PS:漏洞影響范圍:Apache Struts 2.0.0 - 2.5.20
傳入普通文本:
傳入ognl表達式%{9*9},需要url轉碼:
此處以<s:a 標簽的id值中插入ognl表達式為例,其他標簽可能執行不成功。
漏洞利用前置條件,需要特定標簽的相關屬性存在表達式%{xxxxx},且xxxx可控并未做安全驗證。
如果表達式中的值可被攻擊者控制,攻擊者可以通過傳入危險的OGNL表達式實現遠程代碼執行,不過該漏洞利用條件過于苛刻,危害為高危,但實際操作起來不容易造成大規模利用。
針對較新的版本,還沒有太好的bypass方式,框架本身也會過濾掉敏感操作,此漏洞利用條件苛刻,無法大規模利用,及時安裝軟件更新即可,或按照官方說的修改配置。
關于如何進行Struts2 s2-059 CVE-2019-0230漏洞驗證就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
