实在是没办法啊,服务器又被黑了。
上传了很多木马jsp 文件。尝试了一下,居然可以管理服务器内部文件。
我们项目使用的struts2 2.3.12 ,不能幸免的的被黑了。
Struts2 远程代码执行漏洞利用工具 bulid 20130720 [+] S2-016 CVE-2013-225 支持GetShell/获取物理路径/执行CMD命令 [+] S2-013 CVE-2013-1966 支持GetShell/获取物理路径/执行CMD命令 [+] S2-009 CVE-2011-3923 支持GetShell/获取物理路径/执行CMD命令 [+] S2-005 CVE-2010-1870 支持GetShell/获取详细信息/执行CMD命令 实在是郁闷啊。
http://struts./release/2.3.x/docs/s2-016.html。
来看看官方的说明吧。
然后再来看看牛B的大神们的工具吧。这叫一个牛B.
拿着大神的工具,然后测试自己的项目。日。上传文件成功了。
好吧。服务器成功被入侵了。
其中,我的工具就是在这儿下载的。
|
|