命令执行漏洞在不同框架下都有存在，也是十分普遍且危害极大，下面我们介绍一个最具代表性的，也是影响范围最大的一个命令执行漏洞–Struts2远程代码执行漏洞。

Struts2

漏洞介绍

ApacheStruts是一款建立Java web应用程序的开放源代码架构。Apache Struts存在一个输入过滤错误，如果遇到转换错误可被利用注入和执行任意 Java 代码。

网站存在Struts2远程代码执行漏洞（CVE-2010-1870）的大部分原因是由于网站采用了Apache Struts Xwork作为网站应用框架，Xwork通过getters/setters方法从HTTP的参数中获取对应action的名称，这个过程是基于OGNL（object graph navigation language）的，由parametersintercceptor调用valuestack.setvalue()完成的，它的参数用户控，由HTTP参数传入。OGNL的功能强大，远程执行代码也正是利用了这一点，导致网站面临安全风险。

实例演示

说了一大堆，可能大家不太理解，没关系咱们直接上实例，下图是用工具检测出存在Struts2远程命令执行漏洞网站的反馈信息，警告：存在Struts2远程代码执行漏洞-编号S2-016。

存在Struts2远程命令执行漏洞

存在漏洞就可以进一步执行命令了，我们输入命令ifconfig，提示执行成功，并反馈了执行后的信息，同时我们也可以上传文件，比如一句话木马，从而控制目标站点服务器再上传大马，获得更高的权限。

命令执行成功

其他命令执行漏洞

Spring MVC命令执行漏洞，Django命令执行漏洞，还有PHP一些函数中存在代码执行漏洞，这个我们以后再讲。

漏洞防御

目前官方已经公布了安全补丁，采用了Apache Struts Xwork作为网站应用框架的用户，要及时到官方下载最新的安全补丁进行升级，采用其他框架或语言的网站用户也要多关注官方公布的安全补丁，及时下载升级！命令执行漏洞是危害十分大的漏洞，且多存在于固定的框架中，维护人员要了解网站的建站模式，时刻关注最新的漏洞咨询和官方的安全补丁。