freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【实验】如何本地搭建Struts2框架对S2-045漏洞进行利用 金币
2017-03-28 15:49:32

一:搭建struts2

1.整个工程架构图:

11.png

2.所需要的jar包,注意struts2的包要在Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10之间选择

22.png

3.UploadAction.java:

33.png

4.struts.xml文件:

44.png

5.index.jsp文件

55.png

6.web.xml文件

66.png

部署工程然后执行,本地测试工程可以正常上传照片后进行漏洞利用

二:漏洞利用以及遇到的错误解决

1.漏洞利用工具“Struts2_045-Poc-master”下载地址:

https://github.com/tengzhangchao/Struts2_045-Poc

1.png

2.解压缩,在文件中打开命令行窗口执行命令:

python s2_045_cmd.py http://127.0.0.1/fileUpload/upload.action 

遇到问题1:

3.png

解决问题方法:

下载poster模块,下载地址:http://download.csdn.net/download/mrcongshansheng/9170469

解压缩后将文件都拷贝到漏洞利用工具文件夹下

99.png

接着执行命令,遇到问题2:

4.png

解决问题:在s2_045_cmd.py文件头中指定要使用http1.0协议,添加以下三行代码:

00.png

再次执行命令成功,成功后就可以利用CMD口令对其进行利用

5.png

* 本文作者:青离,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# Struts2 # S2-045
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑