漏洞复现Struts远程命令执行漏洞

S2-

一，漏洞分析

ApacheStruts2.3.x的strus1插件存在远程代码执行的高危漏洞，漏洞编号为CVE--（S2-）。在Struts2.3.x版本上的Showcase插件ActionMessage类中，通过构建不可信的输入可实现远程命令攻击。漏洞原因是当ActionMessage接收客户可控的参数数据时，由于后续数据拼接传递后处理不当导致任意代码执行。攻击者可以构造恶意的字段值通过Struts2的Struts1的插件，远程执行代码，大概意思就是说“Struts2.3.x系列中的Struts1插件示例中的StrutsShowcase应用程序中可以执行系统命令。

二，漏洞版本

ApacheStruts2.3.x系列中启用了struts2-struts1-plugin插件的版本

三，漏洞复现

开启漏洞环境

使用vulhub进行环境搭建(