一:搭建struts2
1.整个工程架构图:
2.所需要的jar包,注意struts2的包要在Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10之间选择
3.UploadAction.java:
4.struts.xml文件:
5.index.jsp文件
6.web.xml文件
部署工程然后执行,本地测试工程可以正常上传照片后进行漏洞利用
二:漏洞利用以及遇到的错误解决
1.漏洞利用工具“Struts2_045-Poc-master”下载地址:
https://github.com/tengzhangchao/Struts2_045-Poc
2.解压缩,在文件中打开命令行窗口执行命令:
python s2_045_cmd.py http://127.0.0.1/fileUpload/upload.action
遇到问题1:
解决问题方法:
下载poster模块,下载地址:http://download.csdn.net/download/mrcongshansheng/9170469
解压缩后将文件都拷贝到漏洞利用工具文件夹下
接着执行命令,遇到问题2:
解决问题:在s2_045_cmd.py文件头中指定要使用http1.0协议,添加以下三行代码:
再次执行命令成功,成功后就可以利用CMD口令对其进行利用
* 本文作者:青离,转载请注明来自FreeBuf.COM0day
文章评论