Struts2漏洞分析之Ognl表达式特性引发的新思路

最新推荐文章于 2023-09-18 07:00:00 发布
最新推荐文章于 2023-09-18 07:00:00 发布
阅读量709 收藏 1
点赞数 2
分类专栏: 安全 渗透测试 网络 文章标签: 网络安全 渗透测试 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/118635786
版权
摘要在Ognl表达式中,会将被括号“()”包含的变量内容当做Ognl表达式执行。Ognl表达式的这一特性,引发出一种新的攻击思路。通过将恶意代码存储到变量中,然后在调用Ognl表达式的函数中使用这个变量来执行恶意的代码,从而实现攻击。本文将会以CVE-2011-3923漏洞作为示例,描述这种利用思路的具体过程。但是,本文的内容绝不仅仅局限于这个漏洞,在实际的审计过程中,这种思路可以用来发现很多类似的漏洞。背景介绍与原理分析这个漏洞和CVE-2010-1870很相似,都是是通过Ognl表达式执行ja.
摘要由CSDN通过智能技术生成

在这里插入图片描述

摘要

在Ognl表达式中,会将被括号“()”包含的变量内容当做Ognl表达式执行。Ognl表达式的这一特性,引发出一种新的攻击思路。通过将恶意代码存储到变量中,然后在调用Ognl表达式的函数中使用这个变量来执行恶意的代码,从而实现攻击。
本文将会以CVE-2011-3923漏洞作为示例,描述这种利用思路的具体过程。但是,本文的内容绝不仅仅局限于这个漏洞,在实际的审计过程中,这种思路可以用来发现很多类似的漏洞。

背景介绍与原理分析

这个漏洞和CVE-2010-1870很相似,都是是通过Ognl表达式执行java,来达到远程代码执行的效果。我们先来回顾下CVE-2010-1870漏洞,它是攻击者通过get方法提交Ognl表达式,直接来调用java的静态方法来实现代码执行。这个问题爆出来后,struts官方加强了对于用户提交内容的审核,禁止使用“#”、“\”等特殊字符作为参数提交。
那么这样我们就没有办法远程执行Ognl表达式了吗?当然不,Ognl给我们提供了另一种执行它的方法,我们来看下官方文档中一部分的内容:
在这里插入图片描述
Ognl表达式给我们提供了“#fack()”这样调用上下文对象方法的功能,我们需要留意的是红色文字,大概的意思如下:如果你想要调用上下文环境中对象的方法,可以使用“(fact)()”这种格式来书写。
而在测试过程中发现,(one)(two)这种形式的Ognl表达式,会先将one当做另一个Ognl表达式先执行一遍,然后再继续他后面的工作。这样的话,如果程序在调用某一可以执行Ognl表达式的函数时,我们通过变量将恶意的表达式传入,那么,struts所做的那些过滤便成为了一扇“透明的门”。
0x03 实例模拟与跟踪
在正常的调用中,我们找到了setValue这个函数,它的作用是根据Ognl表达式对目标进行赋值,在这个过程中Ognl表达式会执行。而struts2中通过在继承ActionSupport的类中,设置setter和getter方法,可以实现用户通过get和post方法直接为私有成员变量赋值。这种方法便会用到setValue这个函数。下面我们来搭建一个这样的类:

   package action;
import ognl.Ognl;
import com.opensymphony.xwork2.ActionSupport;

public class HelloWorld extends ActionSupport{
   
        private String tang3;
        public void settang3(String tang3) {
   
                    this.tang3 = tang3;
最低0.47元/天 解锁文章
IT老涵
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2 OGNL表达式实例详解
08-29
Struts2 OGNL表达式实例详解 Struts2 OGNL表达式实例详解主要介绍了Struts2 OGNL表达式实例详解,相关实例代码,需要的朋友可以参考。Object Graph Navigation Language(对象图导航语言),就是用点来访问成员变量...
XWork绕过安全限制执行任意命令漏洞补丁
08-20
CVE ID: CVE-2010-1870 XWork是一个命令模式框架,用于支持Struts 2及其他应用。 XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将: user.address.city=Bishkek&user['favoriteDrink']=kumys 转换为: action.getUser().getAddress().setCity("Bishkek") action.getUser().setFavoriteDrink("kumys") 这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。 除了获取和设置属性外,OGNL还支持其他一些功能: * 方法调用:foo() * 静态方式调用: @java.lang.System@exit(1) * 构建函数调用:new MyClass() * 处理上下文变量:#foo = new MyClass() 由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行: * OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true) * SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false) 为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量: * #application * #session * #request * #parameters * #attr * #context * #_memberAccess * #root * #this * #_typeResolver * #_classResolver * #_traceEvaluations * #_lastEvaluation * #_keepLastEvaluation 这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值: #_memberAccess['allowStaticMethodAccess'] = true #foo = new java .lang.Boolean("false") #context['xwork.MethodAccessor.denyMethodExecution'] = #foo #rt = @java.lang.Runtime@getRuntime() #rt.exec('mkdir /tmp/PWNED')
Struts2_005_RCE CVE-2010-1870漏洞复现
ADummy的博客
02-18 2166
Struts2_005_远程代码执行 by ADummy 0x00利用路线 ​ 直接url执行payload,由于浏览器url输入框的长度有限,可以使用Hackbar插件,或burpsuite抓包测试。无回显。 0x01漏洞介绍 ​ S2-005是由于官方在修补S2-003不全面导致绕过补丁造成的。我们都知道访问Ognl的上下文对象必须要使用#符号,S2-003对#号进行过滤,但是没有考虑到unicode编码情况,导致\u0023或者8进制\43绕过。S2-005则是绕过官方的安全配置(禁止静态方法
春秋云镜 CVE-2010-1870/CVE-2013-1965
最新发布
qq_22002773的博客
09-18 622
春秋云镜 CVE-2010-1870/CVE-2013-1965
struts2 CVE-2010-1870 S2-005 XWork ParameterInterceptors bypass allows remote command execution
weixin_33861800的博客
06-29 275
catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix   1. Description struts2漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为...
Struts 2命令执行漏洞
kenshinlou的专栏
10-13 1361
2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。 这个漏洞的细节描述公布在exploit-db 上。 在这里简单摘述如下: XWork通过getters/setters方法从HTTP
Struts2 通过ognl表达式实现投影
08-29
Struts2 通过 OGNL 表达式实现投影 Struts2 框架中,OGNL(Object-Graph Navigation Language)是一种强大的表达式语言,主要用于在 Struts2 应用程序中进行数据绑定和投影。OGNL 表达式可以用于过滤、投影和排序...
STRUTS2类型转换错误导致OGNL表达式注入漏洞分析1
08-08
STRUTS2类型转换错误导致OGNL表达式注入漏洞分析STRUTS2框架在处理用户输入时出现的类型转换错误,可能导致OGNL(Object-Graph Navigation Language)表达式注入漏洞。此漏洞允许攻击者通过精心构造的输入,...
Struts2 如何使用OGNL表达式(三十八)
04-10
Struts2中,OGNL(Object-Graph Navigation Language)是一种强大的表达式语言,用于在视图层和模型层之间进行数据绑定和表达式计算。本文将深入探讨如何在Struts2中有效地使用OGNL表达式。 首先,OGNLStruts2的...
解决OpenSSH J PAKE授权问题漏洞 CVE 2010 4478 Linux上openssh重装方法
07-19
解决OpenSSH J PAKE授权问题漏洞 CVE 2010 4478 需要更新openssh Linux上openssh重装方法
CVE-2010-2883字体文件SING表栈溢出
07-03
CVE-2010-2883字体文件SING表栈溢出,CVE-2010-2883字体文件SING表栈溢出
struts2 漏洞利用工具
07-15
struts2 struts2 漏洞利用工具
CVE-2010-4398溢出攻击
08-12
老文档了,,就当科普了吧,,,,,本文分析所采用的操作系统为Windows 7 旗舰版,使用到的工具有:VMWare + Windbg + IDA Pro 5.5。
Struts2 使用OGNL表达式
06-01
OGNLStruts2的核心组件之一,它允许开发者通过简单的字符串表达式来访问和修改对象的属性,甚至可以处理复杂的对象结构。以下是一些关于Struts2OGNL表达式的关键知识点: 1. **基础语法**:OGNL表达式的格式...
struts2漏洞集合
angaoux03775的博客
10-27 1729
[+]1 S2-005 CVE-2010-1870CVE-2010-1870 影响版本:Struts 2.0.0 – Struts 2.1.8.1 官方公告:http://struts.apache.org/release/2.2.x/docs/s2-005.html ('\43_memberAccess.allowStaticMethodAccess')(a)=true...
struts2框架漏洞复现
Bird&Bird
01-07 4402
目录1、S2-001远程代码执行漏洞CVE-2007-4556)漏洞简介影响范围漏洞复现S2-005 远程代码执行漏洞CVE-2010-1870漏洞简介影响版本绕过过程漏洞复现 1、S2-001远程代码执行漏洞CVE-2007-4556) 漏洞简介 当用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。 影响范围 Struts 2.0.0 - 2.0.8 漏洞复现 输入%{1+1},返回2就是存在该漏洞。 获取
Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability
cnbird's blog
07-16 3038
Struts2/XWork
`Strtus2 OGNL表达式的结合
06-18
Struts2 OGNL表达式的结合是指在Struts2框架中,通过OGNL(Object-Graph Navigation Language)表达式来操作和访问Action中的属性和方法,并将其与Struts2框架进行结合使用。Struts2框架为OGNL表达式提供了两个重要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值