Struts2-S2-061远程命令执行漏洞(CVE-2020-17530)

发表时间:2022-03-28 14:55

本文由“东塔网络安全学院”总结归纳


靶场介绍:

Struts2-S2-061远程命令执行漏洞(CVE-2020-17530)


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“Struts2-S2-061远程命令执行漏洞(CVE-2020-17530)”。

注:本关反弹shell需要使用到VPS

一、实验介绍

1.简介

Apache Struts于2020年12月8日日报披露S2-061 Struts远程代码执行突破(CVE-2020-17530),在使用某些标签等情况下,Apache Struts2框架是一个使用Java EE网络应用程序的Web框架。下可能存在OGNL表达注入扩展,从而造成远程代码执行,风险极大。


2.影响版本

Apache Struts 2.0.0-2.5.25


二、实验目的

1.了解CVE-2020-17530突破的实验简介

2.了解CVE-2020-17530突破的突破原理

3掌握CVE-2020-17530突破的防御方式


三、实验步骤

1.启动靶场,查看实验环境;

2.测试漏洞是否存在;

3.使用burp抓包反弹shell。


四、防御方式

将Apache Struts框架升级至最新版本