一、目的:
首先發現了帶有".do"和“.action”的頁面
用struts2搭建的網站而且頁面上存在“.do”和“.action”的,可能會存在遠程命令執行漏洞,
用awvs掃描是否存在這個漏洞,如果掃描出來有的話,就用工具去驗證這個漏洞是否真的存在
二、實驗
1、開啟虛擬機
2、這個就是我發現的用struts2搭建的帶有“.action”的頁面,開始操作
3、用awvs掃描
4、驗證
證明這個網站上存在遠程執行命令漏洞
例如:S2-057漏洞驗證過程(以下是粗略過程)
詳細請參考:https://blog.csdn.net/weixin_43625577/article/details/97111575
<constant name="struts.mapper.alwaysSelectFullNamespace" value="true" /> 
