struts2绕过waf读写文件及另类方式执行命令

之前碰到过好几次Struts2，都是016，项目、众测都遇到过，每次都只是证明了一下存在，由于waf的存在，没有深入去利用，后续深入思考了一下，这里简单的记录下。0x01 背景xray或者Struts2漏扫可以扫到网站存在Struts2漏洞但是执行命令会发现直接Connection Reset，很明显是被waf拦截了0x02 探究waf规则一个一个删除关键字，发现拦截的关键字有三个：Runtime、dispatcher、getRealPathRuntime很熟悉，执行命令一般都用这个，拦截了这个关键字，执行命令还是比较困难的dispatcher比较陌生，查了资料以后发现是读取Struts2的请求对象中的关键字getRealPath字面意思，获取真实路径0x03 尝试突破简单说一下思路，在绕过waf关键字的前提下进行读、写文件，如webshell落地；或者直接执行命令，如CS上线等。dispatcher绕过，可以通过拼接进行绕过，部分代码如下:#req=#context.get('co'+'m.ope ………………………………