文章目錄
  1. 1. 漏洞公告
  2. 2. 测试环境
  3. 3. marshalsec
  4. 4. 参考资料

漏洞公告

测试环境

网上公开比较早的是CSDN的这个博客。不过很快删掉了。由于有快照,网上也出现了很多转载。

测试环境使用vulhub。直接使用048的测试环境,替换成新的app就可以。docker-compose.yml如下:

version: '2'
services:
 struts2:
   image: vulhub/struts2:2.3.32-showcase
   volumes:
    - ./ROOT.war:/usr/local/tomcat/webapps/ROOT.war
   ports:
    - "8080:8080"

测试用的app用的2.3.32版本

marshalsec

java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.XStream  ImageIO  touch /tmp/ls

使用marshalsec生成测试poc

官方也不是很靠谱,一开始说是影响2.5-2.5.12。结果用2.3.32测试同样存在漏洞。后来官方又修改了公告。影响范围为2.1.2-2.3.33,2.5-2.5.12

参考资料

S2-052漏洞分析及官方缓解措施无效验证

文章目錄
  1. 1. 漏洞公告
  2. 2. 测试环境
  3. 3. marshalsec
  4. 4. 参考资料