重现Struts1的操纵classLoader漏洞

最新推荐文章于 2022-10-06 11:16:47 发布
最新推荐文章于 2022-10-06 11:16:47 发布
阅读量7.6k 收藏 1
点赞数 4
分类专栏: Java Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunxing007/article/details/25885429
版权
注:本文仅限技术研究,探讨,测试使用.

2014年4月29日爆出的struts的可操纵classLoader的漏洞, 横跨struts1和struts2的所有版本。 影响面和问题的严重性几乎可以和heartbleed相媲美。 struts2要严重一些,对于struts1,只是说在特定条件下可执行特殊操作。

因为项目中用的是struts1,所以主要精力集中在struts1上。既然要修复漏洞,首先得找出POC给老板看,这类漏洞一般网上不会给出直接的POC,于是就动手捣鼓一番。建立一个简单的struts1项目,包含一个Action和ActionForm即可。 启用debug模式部署项目到tomcat等容器。然后在action的任意位置加一个断点,然后通过浏览器访问该action。既然说是"操纵classLoader",我马上想到的是struts自动封装表单用到反射,在断点附近寻找ActionForm的class的classLoader的属性列表,看看有谁的名字听起来是可操纵的。最初我就发现了这个:clearReferencesHttpClientKeepAliveThread .于是有如下的url和截图:
http://localhost:8080/Struts1/helloWorld.do?class.classLoader.clearReferencesHttpClientKeepAliveThread=false

http://localhost:8080/Struts1/helloWorld.do?class.classLoader.clearReferencesHttpClientKeepAliveThread=true


至此classLoader操作成功, 尽管clearReferencesHttpClientKeepAliveThread是一个暂时看起来不太危险的classLoader属性。

我看到部分资料说该漏洞在jetty7 下可关闭jetty服务器, 我也试了, 可以, 你可以把项目部署到jett7, 然后用如下url:
http://localhost:8080/Struts1/helloWorld.do?class.classloader.context.shutdown=true
一旦class.classloader.context.shutdown被输入,则后续的所有请求都只能收到404,要想恢复的唯一办法就是重启jetty。
如图:

还有更多的其他的POC比如在tomcat8下可下载任意文件,在其他情况下可执行code等待,我就没有一一证明。

因为struts1在该漏洞发出后, apache宣布struts1即将EOL, 所以我们也不打算花太多精力搞个威猛的方案出来,用了一个filter来检查请求参数是否包含“class.*”完事。代码片段如下:

public static final String classLoaderManipulatorParamReg = "(class\\.)|(class.classLoader\\.)" ;
public static final Pattern classLoaderManipulatorParamPattern = Pattern.compile(classLoaderManipulatorParamReg);

Enumeration<String> params = request.getParameterNames();
while(params.hasMoreElements()){
	String key = params.nextElement();
	Matcher matcher = classLoaderManipulatorParamPattern.matcher(key);
	if(matcher.find()){
		System.out.println("suspicious parameters: " + key + ", removed from the parameter list.");
		req.setAttribute("msg", key+"=" + req.getParameter(key));
		request.getRequestDispatcher("unsafeRequest.jsp").forward(req, response);
		
		//logger.warn(this, "suspicious parameter: " + key);
		
		// 需替换尖括号以防止反射型的XSS漏洞
		String kvPair = (key+"=" + req.getParameter(key)).replaceAll("<", "& lt;").replaceAll(">","& gt;");
		
		/* 
		 * 这里需要注意:如果用以下方式重定向到出错页面, 极有可能导致递归的filter调用从而进入死循环。
		 * request.getRequestDispatcher("unsafeRequest.jsp").forward(req, response);
		 * 如果你想走到一个单独的出错页面来显示错误信息, 需要谨慎处理。
		 * 我们这里就简单的直接输出出错信息到response.
		*/
		response.getWriter().write("Malicious parameter detected: " + kvPair);
		response.getWriter().flush();
		return;
	}
}



你可以在这里下载struts1样例程序: http://download.csdn.net/detail/sunxing007/7350433。 如要重现POC, 请先把web.xml中SecurityFilter去掉。

转载请注明来自: http://blog.csdn.net/sunxing007

sunxing007
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Arthas】命令之ognl使用姿势
lingyued的博客
04-19 684
金三银四到了,送上一个小福利!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取![外链图片转存中…(img-EOawtU8q-1713522149003)][外链图片转存中…(img-mD1CvYLL-1713522149004)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
struts漏洞检测工具
11-08
struts2 漏洞检测工具 ,快速检测struts命令执行漏洞,可批量。运行环境要求:MAC/Linux下的Python2、Python3 。支持ST2-005,ST2-008,ST2-009,ST2-013,ST2-016,ST2-019,ST2-020,ST2-devmode,ST2-032,ST2-033,ST2-037,ST2-045,ST2-046,ST2-048,ST2-052,ST2-053,ST2-057的漏洞检测
vulhub复现之struts漏洞复现
最新发布
m0_70483044的博客
10-06 436
Struts2就是一个框架,它是属于web层的一个框架,是Struts1的一个升级版,但是它和Struts1来相比,提供了太多的增强和改进,怎么运行的呢,就是实现了Servlet的功能,来进行控制页面跳转。同时这也是基于MVC设计模式的Web应用框架,Struts2的控制功能就相当于MVC中的Controller的功能,用来控制页面的转向。​。
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
Struts1.x 跨站脚本(XSS)漏洞的解决
weixin_33862514的博客
11-18 232
一. 演示XSS 当访问一个不存在的网址时,例如[url]http://localhost:8080/demo/noAction.do[/url],那么Struts处理后都会跳到提示“Invalid path /noAtcion.do was requested”的页面。 但如果我们访问的网址是[url]http://localhost:8080/demo/<s...
最新!Apache Struts 又爆安全漏洞(危害程度特别大)
Java技术栈,分享最主流的Java技术
08-16 1590
Struts 是一个开源的 Java Web MVC 框架,也是 Apache 软件基金会的一个开源项目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,现在市面上说的 Struts 主要是指 Struts 2。 很不幸,现在 Struts 2 也是被淘汰的框架了,但也有很多老项目也还是在用 Struts 2 的,所有还在用的小伙伴们需要关注一下。 具体就不多说了,可以看栈长之前分享的:Struts2 为什么被淘汰? 漏洞说明 攻击者可以利用文件上传漏洞,覆盖访问权限,以造成服务
Struts漏洞介绍与分析
weixin_38133867的博客
11-30 591
Struts-045学习关于Apache Struts2(S2-045)漏洞情况的通报 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况报送。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:一、 漏洞简介Apache Struts是美国阿帕奇(Apa
STRUTS2的getClassLoader漏洞利用
01-30
我在《攻击JAVAWEB》,文中提多关于“classLoader导致特定环境下的DOS漏洞”,当时并没有更加深入的说明,这几天struts官方修补了这个漏洞,本文是对这个漏洞的深入研究。这一切,得从我们控制了classLoader说起,...
ClassLoader
11-12
Java 虚拟机中ClassLoader 相关简介 双亲委托机制 Android 中ClassLoader 简介
ClassLoader(类加载机制)1
08-03
1. **ClassLoader(类加载机制)** Java类加载过程分为三个阶段:加载、链接和初始化。`ClassLoader`在加载阶段发挥作用,它负责查找并加载类的字节码。在Java中,类加载器主要有三层:Bootstrap ClassLoader(引导...
Struts 漏洞
weixin_30530339的博客
05-02 752
1.Struts 远程执行漏洞(很早的)       起因:.do:以do为扩展名的网页文件是java语言写的,以Struts为框架的;它的运行环境是tomcat,weblogic等;通常用的数据库有oracle,mysql,mssql,access等。网页后台程序是*.jsp 或者 struts的组件文件*.do;.do一般是servlet的映射。j2ee平台,基于struts框架开发;*.d...
struts1.3.15.1高危漏洞修复版ssh包
08-15
ssh1.3.15.1-struts最新高危漏洞修复版ssh整合jar包。解压后直接buildPath.
Struts2漏洞检查工具2018版 V2.1.exe
01-12
Struts2漏洞检查工具2018版 V2.1. Struts2漏洞检查工具2018版 V2.1.2018 级以前所有序列号动都有 支持cookies 批量检测
Struts框架漏洞
小小猪的博客
08-18 1272
Struts框架漏洞 Struts-S2-013漏洞利用 不妨先来看下index.jsp中标签是怎么设置的 <p><s:a id="link1" action="link" includeParams="all">"s:a" tag</s:a></p> <p><s:url id="link2" action="link" includeParams="all">"s:url" tag</s:url></p&
关于struts漏洞
BeALittleCat的专栏
02-15 1042
(文章出处:阿里云社区  漏洞扫描 > 技术运维问题 > 技术分享 > Struts2代码执行漏洞) Apache Struts s2-005 远程代码执行漏洞(CVE-2010-1870)  受影响版本: Struts 2.0.0 - Struts 2.1.8.1 漏洞描述: 在Struts2中访问OGNL的上下文对象必须要使用#符号,S2-003的修复方案中对#号
apache struts linux,Apache Struts远程代码执行漏洞(CVE-2017-9791)
weixin_33178459的博客
05-14 153
Apache Struts远程代码执行漏洞(CVE-2017-9791)发布日期:2017-07-05更新日期:2017-07-10受影响系统:Apache Group Struts 2.3.xApache Group Struts描述:BUGTRAQ ID: 99484CVE(CAN) ID: CVE-2017-9791Struts2 是构建企业级Jave Web应用的可扩展框架。在Strut...
漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞
07-11 1148
了解更多技术文章请点击原文链接 2017年7月7日,ApacheStruts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。具体详情如下:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值