0%

S2-052 CVE-2017-9805复现过程

漏洞原理

Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,可被远程攻击。

影响版本

Struts 2.1.2 - Struts 2.3.33
Struts 2.5 - Struts 2.5.12

复现步骤

  1. 使用vulfocus搭建漏洞环境
    image

  2. 使用工具拿到flag
    image