Struts2漏洞分析

最新推荐文章于 2024-02-21 07:00:00 发布
最新推荐文章于 2024-02-21 07:00:00 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: java

Struts2漏洞分析

当在浏览器输入如下地址时:

       http://www.xxxx.com/aaa.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1 

输入以后,服务器端就会崩溃

原因如下:

1、  首先这个url翻译后?后面的内容如下:

?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1

2、  当提交这个url后,经过了一个拦截器名为ParametersInterceptor (com.opensymphony.xwork2.interceptor.ParametersInterceptor)

其中有这么一行源代码:

   意思为:可以改变值栈中的值。例如

               action中有一个属性name(nameset方法)

        利用stack.setValue(“name”,”aaa”);就把name属性的值改为aaa字符串。

在上述的url中,有两个至关重要的值:

map栈中:

     下图:

_memberAccessOgnlContext中的一个属性,这是一个权限类SecurityMemberAccess,该权限类中有一个方法allowStaticMethodAccess:是否允许访问静态方法。通过上面的url,把该属性的值设置为了true(默认值为false),

context['xwork.MethodAccessor.denyMethodExecution']则是

只有这个值为false,Ognl表达式才能执行自定义的变量

map栈中的其中一个值,这个是一个boolean值,设置为true,ognl表达式就能够调用静态的方法

(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1则是一个shellcoade,ognl表达式可以执行静态方法,这样就可以调用java中的命令了。

当执行(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1这个代码的时候相当于java.lang.Runtime.getRuntime().exit(1);,这个时候整个程序关闭了,所以web容器也被关闭了。

为什么会存在这样的漏洞:

1、  struts2提供了存储数据的内存结构valueStack

2、  struts2也提供了访问数据的方式ognl表达式

3、  ognl表达式不但可以访问到valueStack中的值,而且还可以改变valueStack中的值

调用valueStack.setValue即可

4、  ognl表达式还能执行静态方法,并且嵌入一些shellcoade代码执行。

这样的结构很灵活,很方便程序员对数据进行操作,因为太灵活,所以在这里就存在安全性的隐患了。可以把一些特别的代码(导致系统崩溃)嵌入到ognl表达式中。

说明:

       上述url中的\u0023代表#号,%20代表空格,\u003代表等于

解决方案:

    1、 做一个自定义的拦截器,拦截器过滤url,如果含有\u0023这个字符串,则不能执行以后的操作。这个拦截器的执行一定要在ParameterInterceptor执行之前

2、下载xwork2源码 http://release.opensymphony.com/xwork/2.0.5/xwork-2.0.5-src.zip 把com/opensymphony/xwork2/interceptor/ParametersInterceptor.java加入到自己的项目中,修改com.opensymphony.xwork.interceptor.ParametersInterceptor#acceptableName(String name),在方法最前面加上: 

  1. boolean foundMatch = false;  
  2. foundMatch = name.contains("\\u0023");  
  3. if(foundMatch){  
  4.     return false;  
  5. }  

xml配置如下:

总结:

1、演示struts2的安全漏洞

       1、如果不写struts2的配置文件,是不能出现安全漏洞的

       2、如果写了一个action,但是action没有写对,也不能执行安全漏洞

       3、写对了以后就能够执行安全漏洞

2、解释原因:

       ognl表达式的用法

3、解析攻击的url

4、一种比较简单的方式进行防御

valueStack:值栈  struts2利用该结构存放对象(数据)

                 在后台只要把数据(对象)放入到值栈中

   1map 

         Person person = new Person();

        person.setPid(1L);

        person.setPname("传智播客");

        ActionContext.getContext().put("person", person);

        person被放到了map栈中

   2、对象栈

ognl表达式可以访问值栈中的数据

   ognl表达式访问map栈中的person

      #person.pname 访问map栈中的person对象的pname属性

_memberAccess:valueStack中就是

com.opensymphony.xwork2.ognl.SecurityMemberAccess@115c6cb

   1xwork2中的一个类

   2、该类是用来限制访问OgnlContext中的内容

 

转自传智播客

yunshouhu
关注
专栏目录
Struts2漏洞
lin062854的专栏
11-03 3383
Struts 2.3.15版本被曝出存在重要的安全漏洞,主要问题如下   1、可远程执行服务器脚本代码          用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','her
struts2漏洞原理及解决办法
cuixiang1022的专栏
10-26 418
1、原理 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数: ?user.address.city=Bishkek&user['favoriteDrink']=kumys  ONGL将它转换为: acti
Struts2 漏洞分析及如何提前预防
09-02
然而,Struts2在2016年4月26日发布了一份关于CVE-2016-3081的安全公告,揭示了一个严重的远程命令执行漏洞,该漏洞被称为S2-032。这个漏洞发生在Struts2框架的动态方法调用功能中,允许攻击者通过精心构造的请求执行...
struts2漏洞分析
09-15
然而,Struts2框架在过去曾出现过多个安全漏洞,其中S2-022是针对S2-021的一个补充,暴露了框架在处理OGNL(Object-Graph Navigation Language)表达式时的安全问题。 OGNL是Struts2中用于表达和操作对象图的强大的...
Struts2漏洞分析与研究之Ognl机制探讨1
08-08
通过深入理解OGNL的工作原理,开发者可以更好地利用Struts2框架进行数据操作,同时也能更好地识别和防止Struts2框架中可能出现的安全漏洞,比如通过OGNL表达式注入攻击。在实际应用中,确保对OGNL表达式的正确过滤和...
Struts2 漏洞集合
kali_Ma的博客
01-21 7558
Struts2 漏洞集合 总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充。 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用docker部署 S2-001 (CVE-2007-4556) 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用
Struts2漏洞检测(带自己编写使用说明一看就上手)
05-04
Struts2漏洞检测(带自己编写使用说明一看就上手),IP地址段批量端口扫描
struts2漏洞
07-19 658
安全机构紧急安全警报,世界知名开源软件struts 2 存在2个高危漏洞,这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。据相关网站报道,目前已知的腾讯、百度、阿里巴巴等7成大型互联网公司及政府机关均将受到该漏洞影响。   安全专家提醒广大网站管理员,应到struts 2的官方网站下载最新的补丁程序(下载地址: http://struts.apache.
热门框架漏洞--Struts2
最新发布
jxy158212的博客
02-21 1601
Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。struts框架本身分为三个部分:核心控制器FilterDispatcher、业务控制器Action和用户实现的企业业务逻辑组件随着整体框架的补丁完善,现在想挖掘新的Struts2漏洞会比以前困难很多,从实际了解的情况来看,大部分用户早就修复了历史的高危漏洞。目前在做渗透测试时,Struts2漏洞主要也是碰碰运气,或者是打到内网之后用来攻击没打补丁的系统会比较有效。
Struts2漏洞利用原理
热门推荐
weixin_33810006的博客
04-12 1万+
概述: Struts2是apache项目下的一个web 框架,目前web框架中非常流行的都是mvc设计模式、经典例子例如:python的Django、Flask;java的ssm等。因为使用MVC设计模式,所以在框架内部处理用户数据流参数的事后就不可避免的存在数据在不同层次流转的问题。struts2作为java的一款成熟的web框架,自然也面临这个问题,于是struts2设计了一套OGNL的模式...
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 2868
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 7406
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值