CVE-2017-7525.md

struts2-055（CVE-2017-7525）by xiajibaxie

漏洞描述

2017年12月1日，Apache Struts发布最新的安全公告，Apache Struts 2.5.x REST插件存在远程代码执行的中危漏洞，漏洞编号与CVE-2017-7525相关。漏洞的成因是由于使用的Jackson版本过低在进行JSON反序列化的时候没有任何类型过滤导致远程代码执行。

影响版本

Struts 2.5 - Struts 2.5.14

利用流程

访问地址： 10.10.11.20:57394

名称：struts2-052/cve-2017-9805

访问url：http://10.10.11.20:57394/struts2-055/orders.xhtml

使用Struts2脚本获取 flag 成功

通关！

参考

http://xxlegend.com/2017/12/06/S2-055%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA%E4%B8%8E%E5%88%86%E6%9E%90/