当前位置：首页 > article >正文

Apache Struts2 - 任意文件上传漏洞 - CVE-2024-53677

article 2026/4/19 13:06:03

0x01：漏洞简介

Apache Struts 是美国 Apache 基金会的一个开源项目，是一套用于创建企业级 Java Web 应用的开源 MVC 框架（将软件分为模型（Model）、视图（View）和控制器（Controller）三部分）。

CVE-2024-53677 是一个在 Apache Struts 框架中发现的严重漏洞，可能允许攻击者远程执行任意代码。漏洞的根本原因是文件上传逻辑存在缺陷，攻击者可以利用该缺陷进行路径穿越和恶意文件上传。

0x02：影响范围

注：未启用 FileUploadInterceptor 组件的应用程序不受此漏洞影响。

2.0.0 <= Apache Struts <= 2.3.37
2.5.0 <= Apache Struts <= 2.5.33
6.0.0 <= Apache Struts <= 6.3.0.2

0x03：环境搭建

环境准备

靶机环境：CentOS 7 - IP 172.16.0.101

攻击机环境：Kali Linux - IP 172.16.0.103

0x0301：靶机环境搭建

靶机：CentOS 7 服务器配置概览

Docker 环境：ARL 灯塔 | CentOS7 — ARL 灯塔搭建流程（Docker）_灯塔arl-CSDN博客

本次靶场的搭建采用 Docker 进行搭建，CentOS 7 安装 Docker 的流程可以参考上面提供的链接。

当安装好 Docker 后，依次输入下面的命令获取 CVE-2024-53677 的实验环境：

 git clone https://github.com/c4oocO/CVE-2024-53677-Docker.git # 拉取项目cd CVE-2024-53677-Docker # 进入文件夹中

然后输入下面的命令根据 Dockerfile 文件构建一个镜像（这里需要挂代理）：

 # build 过程中先开代理，报错后关闭代理再 builddocker build --ulimit nofile=122880:122880 -m 3G -t cve-2024-53677 .

然后输入下面的命令，创建容器运行 CVE-2024-53677 镜像：

 docker run -p 8080:8080 --ulimit nofile=122880:122880 -m 3G --rm -it cve-2024-53677

运行完容器后，我们到 Kali Linux 中，访问靶机的 8080 端口，验证一下环境是否搭建成功：

如上，当看到上面的内容，就证明靶机环境启动好了，等待一会就可以进入漏洞环境了。

0x0302：攻击机环境搭建

攻击机：Kali Linux 配置概览

漏洞 POC：CVE-2024-53677 - POC.zip

攻击机就不用配置啥环境了，把 CVE-2024-53677 的漏洞 POC 下载下去即可。

 # POC 用法python CVE-2024-53677.py -u http://172.16.0.101:8080/upload.action -filename ../shell.jsp -file shell.jsp -type s# -u => 文件上传点的完整的 URL# -filename => 我们上传后的文件在靶场中的位置# -file => 我们本地要上传的文件的位置# -type s => 代表只上传单个文件

0x04：漏洞复现

漏洞复现比较 Easy，但是这里有一个魔鬼细节，我们初始访问靶场长下面这样嘛：

我们这里需要点击 “Browse” 按钮，随机上传一个文件，来让这个靶场初始化后才可以继续漏洞的复现（笔者尝试过了，盲猜是一开始没有 upload 文件夹，必须得传入一个东西后才自动生成）：

初始化靶场后，记得我们刚刚下载的那个 POC 嘛，POC 包里还有一个叫 shell.jsp 的文件，这是一个后门木马文件，待会我们就要将这个木马利用 struts2 的漏洞上传上去：

在 Kali Linux 中输入下面的命令，使用 POC 上传 shell.jsp 文件到靶场中：

 python CVE-2024-53677.py -u http://172.16.0.101:8080/upload.action -filename ../shell.jsp -file shell.jsp -type s

如上，POC 结果显示上传成功，并且返回的 img 标签中还包含了我们木马的位置，我们将这个路径拼接到靶场的 URL 中即可访问 shell.jsp 文件：

 http://172.16.0.101:8080/uploads/../shell.jsp

如上，成功访问，这个 shell.jsp 的利用方法如下，我们通过传入如下参数，即可在靶机执行任意命令：

 ?action=cmd&cmd=whoami

0x05：原理分析

Struts2 中有一个值栈的功能，“值栈” 顾名思义，是一个 “栈” 类型的数据，用来存储一些程序运行的时候需要用到的值。

在 Struts2 中，当我们访问一个 Action 的时候，它就会创建该 Action 类的实例并将它推送到值栈的顶部。比如我们文件上传的时候，访问的 upload.action，当我们访问它的时候，Struts 就会实例化它并将它放到栈的顶部。因此，通过找到栈的顶部数据，我们就能够访问到它。

同时，Struts 又把文件绑定到了 Action 中，因此，如果攻击者通过值栈顶部的数据，修改文件的属性，就可以实现控制文件名达到目录遍历的效果。（目录遍历漏洞可以让攻击者控制文件上传的地方，比如站点根目录下，此时攻击者访问恶意程序，就会导致恶意程序直接在靶机服务器中执行）

0x06：修复方案

安全更新：更新 Apache Struts 到 6.4.0 以上版本即可修复该漏洞。

下载链接：Download a Release

加固建议

针对系统文件上传模块进行严格的身份认证和权限控制，避免匿名用户和未授权的访问。

将文件上传目录和其他可写目录权限设置为不可执行，禁止 web 容器解析这些目录下的文件。

在保存用户上传的文件时不直接使用原文件名，用随机生成的文件名替代以避免被攻击者操纵。

使用对象存储或网络存储的方式，保存用户上传的文件。

加强 web 应用的监控和日志记录，重点监测路径穿越和文件上传相关流量。

Apache Struts2 - 任意文件上传漏洞 - CVE-2024-53677

0x01：漏洞简介

0x02：影响范围

0x03：环境搭建

0x0301：靶机环境搭建

0x0302：攻击机环境搭建

0x04：漏洞复现

0x05：原理分析

0x06：修复方案

相关文章：

Apache Struts2 - 任意文件上传漏洞 - CVE-2024-53677

传统混合专家模型MoE架构详解以及python示例（DeepSeek-V3之基础）

Tomcat如何处理Http请求

安全筑基，智能赋能：BeeWorks IM引领企业协同新纪元

AlmaLinux使用Ansible自动部署k8s集群

solidworks零件的绘制学习

DeepSeek-V3模型底层架构的核心技术一（多Token预测（MTP）技术）

llama.cpp部署 DeepSeek-R1 模型

Spring源码分析のBean创建流程（上）

Ubuntu 下 nginx-1.24.0 源码分析 - ngx_time_update函数

DeepSeek笔记（二）：DeepSeek局域网访问

基于大数据的全国热门旅游景点数据分析系统的设计与实现

【Unity3D】Jenkins Pipeline流水线自动构建Apk

10G EPON光模块

Edge浏览器翻译|自动翻译设置

基于微信小程序的场地预约设计与实现

腾讯发布混元-3D 2.0: 首个开源高质3D-DiT生成大模型

计算机性能与网络体系结构探讨 —— 基于《计算机网络》谢希仁第八版

C# 控制台相关 API 与随机数API

Git的常用命令及常见问题处理方法

基于vue3实现的课堂点名程序

kkFileView二开之pdf转图片接口

神经网络常见激活函数 9-CELU函数

什么是网关？网关有什么作用？API网关的主要功能，SpringCloud可以选择有哪些API网关？什么是限流算法？网关如何实现限流？一篇文章读懂网关的前世今生

OpenCV机器学习（1）人工神经网络 - 多层感知器类cv::ml::ANN_MLP

DeepSeek告别服务器繁忙

线性代数中的正交和标准正交向量

从安装软件到flask框架搭建可视化大屏（一）——创建一个flask页面，零基础也可以学会

python opencv基础使用总结

【已解决】TypeError: AsyncConnectionPool.init(), new install bug, httpx==0.24.1