当前位置: 首页 > article >正文

ApacheStruts2 目录遍历与文件上传漏洞复现(CVE-2024-53677,S2-067)(附脚本)

0x01 产品描述:

        Apache Struts 2 是一个用于JAVA的MVC框架,它用于快速开发web应用。它的设计目标是使得开发者能够更容易的处理web应用的展现层,数据层,和业务层。
0x02 漏洞描述:

        CVE-2024-53677 漏洞的根本原因是 Struts 框架中不安全的文件上传处理机制。攻击者利用 CVE-2024-53677 漏洞时,首先会通过构造恶意文件上传请求,利用文件上传表单或API接口,尝试将带有特殊路径的文件上传到服务器。攻击者可以在上传的文件路径中插入“../”序列,从而访问系统中其他目录的文件,甚至修改或执行系统文件。

        如果上传的恶意文件是可执行的脚本或二进制文件(如PHP、JSP等),并且服务器对文件类型的检测不严格,攻击者就可以通过执行这些文件,获得对服务器的远程控制权限。例如,攻击者可以上传一个带有反向 shell 的脚本文件,进而实现对服务器的完全控制。同时攻击者可利用存在的路径遍历使用“../”等手段访问和操作本应无法访问的文件和目录。

0x03 影响版本:

Struts 2.0.0 - Struts 2.3.37

Struts 2.5.0 - Struts 2.5.33

Struts 6.0.0 - Str


http://www.kler.cn/a/448292.html

相关文章:

  • Linux中Mysql5.7主从架构(一主多从)配置教程
  • ASP.NET|日常开发中数据集合详解
  • Linux应用开发————mysql数据库表
  • 基于 uniapp 开发 android 播放 webrtc 流
  • 在uniapp Vue3版本中如何解决webH5网页浏览器跨域的问题
  • Java模拟Mqtt客户端连接Mqtt Broker
  • 《测试开发方法论》-追踪溯源
  • 【钉钉群聊机器人定时发送消息功能实现】
  • C++ 哈希表封装unordered_map 和 unordered_set
  • 浅谈ORACLE中间件SOA BPM,IDM,OID,UCM,WebcenterPortal服务器如何做迁移切换
  • FLV视频封装格式详解
  • SSM 驱动的 JAVA 网络直播带货查询系统设计及 JSP 成功实现解析
  • 如何确保Java爬虫不超出API使用限制:策略示例
  • Vue 环境变量配置、使用方法、注意事项
  • HTML综合案例
  • C++设计模式:享元模式 (附文字处理系统中的字符对象案例)
  • pro文件转换为CMakeLists.txt文件,QT官方工具使用教程
  • vue+springboot+cas配置及cookie传递问题
  • 现代密码学总结(下篇)
  • Golang中的Map是怎么遍历的
  • 面试题整理9----谈谈对k8s的理解1
  • Rocky Linux 9安装RabbitMQ
  • 设计模式之结构型
  • 【ArcGIS Pro微课1000例】0064:栅格目录、栅格数据集、镶嵌数据集
  • 怎样在html中异步加载js文件,以避免js文件太大而影响页面打开速度?
  • 【Tomcat运行startup.bat闪退】