关于struts2 S2-20漏洞及其补丁绕过的简要分析

最新推荐文章于 2023-12-06 19:18:15 发布
最新推荐文章于 2023-12-06 19:18:15 发布
阅读量3.1k 收藏
点赞数
分类专栏: 漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yd0str/article/details/24453687
版权

23日,struts2 S2-020漏洞补丁被绕过,昨天写了篇报告,放出来,写的比较着急~


                                                                                            关于struts2 S2-20漏洞及其补丁绕过的简要分析

一、漏洞爆出

http://struts.apache.org/release/2.3.x/docs/s2-020.html

是两个CVE-2014-0050(DoS), CVE-2014-0094(ClassLoader manipulation)

 

(1)其中0050这个漏洞的利用POC在

http://www.exploit-db.com/exploits/31615/

据说这个漏洞只会造成CPU的运行缓慢,不会有大影响,有兴趣的可以复现下这个DOS

 

(2)其中0094漏洞是由于classLoader的属性可更改所致,class.classLoader允许对象赋值

Object是java的基础类,所有的class生成的对象,都会继承Object的所有属性和方法,因此当前action无论是什么代码,必须有Object自带的getClass方法,这个方法会返回一个Class对象,Class对象又一定会有getClassLoader方法

由于OGNL是通过class.xxx的形式来遍历属性,得到的也是动态class,在不同容器中也各不相同,有人写过枚举代码,可以遍历出好几百出来


二. 漏洞的验证

大部分都是针对tomcat8的POC,这里我们举个通杀的例子

比如对TomcatdocBase属性直接赋值,

class.classLoader.resources.dirContext.docBase=x

/*docbaseTomcat进行应用目录映射路径配置的,也就是说只是指向了你某个应用目录

Appbase是指该目录下的自动部署为应用

*/

由于docbase属性被允许赋值,假设如果

http://127.0.0.1:8080/struts2-blank/example/HelloWorld.action?class.classLoader.resources.dirContext.docBase=%E4%B8%8D%E5%AD%98%E5%9C%A8%E8%B7%AF%E5%BE%84

docbase后边的是一个不存在路径,那么你将会更改掉docbase的属性,会返回一个404的错误

然后你打开当前任何struts2应用,都会是404

这样也就是造成了DOS的效果

 

命令执行那个功能可以参考这个分析报告

http://www.cnseay.com/3835/

也就是说同样是利用了class.Loader的属性可更改漏洞,更改文件属性,然后进行请求写入类webshell,进行命令执行,这里就不再多做介绍

 

三.S2-20漏洞补丁被绕过

在4月23日晚上,众多绕过该补丁的情况出现

补丁如下:

https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be

 

但是这个补丁的关键如下,是一个正则的,但是是可以被绕过的

(.*\.|^)class\..*

 

比如

class.classLoader.resources.xxx

如果:class[“classLoader”][“resources”]

或者 class[“classLoader”].resources

或者把把双引号换成单引号,

或者是class-->Class大小写,都可以绕过补丁

 

可参考下面补救方式,类似下面这种:

class\[[‘”]classLoader[‘”]\]\[[‘”]\],nocase

 

可参考:

http://drops.wooyun.org/papers/1377

 


code_AV
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁
07-25
-- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper --> <bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class=...
Struts2 S2-020在Tomcat 8下的命令执行分析
收集盒 Book box
04-24 3846
作者:neobyte 时间:2014-04-03 Struts S2-020这个通告已经公布有一段时间了。目前大家都知道这个漏洞可以造成DOS、文件下载等危害,相信各大厂商也已经采取了相应的安全措施。今天是和大家分享一下对这个漏洞的一点研究,包括如何在Tomcat 8下导致RCE,目的是抛砖引玉,有不足之处欢迎大家指出。 1.属性列举 这个漏洞分析的一个难点在于:通过ognl的clas
metasploit支持利用的CVE
Js_123456789的博客
10-20 672
因为需要添加许多漏洞的流量检测,所以需要模拟很多漏洞的利用过程,简单来说,就是抓漏洞利用过程的流量。 一个脚本对metasploit中的module中包含的cve字段进行提取,而后去重,得出metasploit中EXP默认支持的cve漏洞。 列表如下 CVE-2011-3402 CVE-2014-6038 CVE-2014-6039 CVE-2017-5154 CVE-...
学习笔记-B/S - Exploits
人饭子的博客
11-02 9876
B/S - Exploits 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 各类论坛/CMS框架 AEM 74CMS dedeCMS Discuz Discuz Discuz!ML Drupal ECshop Fastadmin Laravel jeecg jeewms Joomla Maccms MetIn...
漏洞发展趋势漏洞利用情况
m0_73803866的博客
10-27 335
攻击事件中使用的漏洞和具体的操作系统环境相关,如物理隔离 环境下的内网中,就可能存在没有及时更新补丁或版本的核心系统、数据库、系统和软件,攻击者一旦 进入内网就可以利用这些成熟的漏洞利用代码发起有效的攻击。从日志中可以看到,攻击事件的发生不仅会用到近几年的漏洞,像 EternalBlue、Tomcat 远程代码 执行这样好用的 Nday 漏洞也是黑客手中的利器,一些历史悠久的 SQL注入、拒绝服务类型的漏洞,由 于攻击门槛低,效果显著,攻击者依然在大量使用,使用到的漏洞按年份分布情况如图 2.3 所示。
如何排查漏洞
黑客CN博客
12-06 479
总之,排查漏洞需要细致、耐心和专业的技能,这需要一定的经验和知识。2. 收集信息:通过查看日志文件、审计日志、网络流量、代码审计等方式,收集与漏洞相关的信息。5. 编写报告:将所有发现的漏洞详细记录在一个报告中,包括风险评估和对应的建议处理方法。4. 分析漏洞:一旦漏洞复现,需要对其进行进一步分析,确定漏洞的根本原因。7. 再次测试:对修复的漏洞进行再次测试,确保漏洞已被彻底修复。1. 了解漏洞:首先需要了解漏洞类型、风险级别以及可能的影响。6. 修复漏洞:根据报告中的建议修复漏洞
Apache Tomcat安全漏洞列表以及修补建议
Keep learing, and stay fast
08-31 3486
Apache Tomcat安全漏洞列表
CVE-2014-0050: Exploit with Boundaries, Loops without Boundaries、Apache Commons FileUpload and Apach...
weixin_30414635的博客
12-14 374
catalog 1. Description 2. Analysis 3. POC 4. Solution 1. Description MultipartStream.java in Apache Commons FileUpload before 1.3.1, as used in Apache Tomcat, JBoss Web, and other produc...
struts2 CVE-2014-0050(DoS), CVE-2014-0094(ClassLoader manipulation) S2-20 DoS attacks and ClassLoade...
weixin_34015566的博客
07-15 161
catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix   1. Description 0x1: 相关基础知识 Object是java的基础类,所有的class生成的对象,都会继承Object的所有属性和方法,因此当前a...
Apache Commons FileUpload
weixin_33819479的博客
11-08 345
Apache Commons FileUpload 和 Tomcat拒绝服务漏洞(CVE-2014-0050) 1 受影响主机 10.238.208.34 详细描述 Apache Commons FileUpload软件包可以向小服务程序和Web应用添加高性能的文件上传功能。 Apache Commons FileUpload ...
Struts2安全漏洞频出 ,多因Apache官方代码编写不严谨
05-01 460
日前,Struts2再次爆出安全漏洞,主要影响国内电商、银行、运营商等诸多大型网站和为数众多的政府网站。国外安全研究人员日前发现,Apache Struts2在处理CVE-2014-0094漏洞补丁中存在缺陷,会被轻易绕过,可导致任意命令执行。黑客进而能够窃取到网站数据,或者对网站进行DDoS攻击。 360网站卫士盘点了近年来曝出的高危Struts2漏洞,并分析Struts2为什么屡...
Struts2-S2-029漏洞分析1
08-08
我把OGNL表达式的执行流程走了一遍,发现Struts2开发人员在对ONGL表达式中的赋值操作时将判断条件写反了,这样一来就直接导致了前边做的所有的安全策略,在
Struts2远程代码执行漏洞分析S2-013)1
08-08
Struts2远程代码执行漏洞分析S2-013)1
Struts2 S2-033漏洞分析1
08-08
Struts2 S2-033漏洞分析1
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
0、这是一个简单、暴力、治根的补漏方法 1、struts2漏洞s2-045,不升级jar版本的修补方法,已验证
智慧学院智能化项目规划设计方案PPT(45页).pptx
05-03
智慧学院智能化项目规划设计方案PPT(45页).pptx
AO工艺设计计算(全).xls
05-03
污水处理计算书
ASP+ACCESS动态网站设计与制作(源代码+设计说明书).zip
05-03
ASP+ACCESS动态网站设计与制作(源代码+设计说明书).zip
基于matlab实现的二维渗流代码,用于模拟在二维条件下,格点所受碰撞的次数.rar
最新发布
05-03
基于matlab实现的二维渗流代码,用于模拟在二维条件下,格点所受碰撞的次数.rar
Struts2 S2-016上传webshell的需求分析
05-25
Struts2 S2-016漏洞是一种文件上传漏洞,攻击者可以通过该漏洞上传恶意代码(如WebShell)到目标服务器,并在服务器上执行该代码,造成严重的安全威胁。 为了成功利用该漏洞,攻击者需要满足以下条件: 1. 目标...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值