struts2漏洞_Struts2 S2061漏洞分析(CVE202017530)

最新推荐文章于 2023-04-07 22:55:15 发布
最新推荐文章于 2023-04-07 22:55:15 发布
阅读量466 收藏 2
点赞数 1
文章标签: struts2漏洞

Smi1e@卫兵实验室

漏洞描述

Struts2 会对某些标签属性(比如 `id`,其他属性有待寻找) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 `%{x}` 且 `x` 的值用户可控时,用户再传入一个 `%{payload}` 即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。

影响范围

Struts 2.0.0 - Struts 2.5.25

漏洞分析

S2-061和S2-059的OGNL表达执行触发方式一样,详情可见公众号之前的文章:Struts2 S2-059 漏洞分析。S2-059的修复方式为只修复了沙盒绕过并没有修复OGNL表达式执行点,因为这个表达式执行触发条件过于苛刻,而S2-061再次绕过了S2-059的沙盒。

diff一下沙盒,可以看到把很多中间件的包添加到了黑名单中。

a7777d93c9e97ea6dd98fd3117a8d7cf.png

已知的OGNL沙盒限制为:

  • 无法new一个对象

  • 无法调用黑名单类和包的方法、属性

  • 无法使用反射

  • 无法调用静态方法

另外,最新的struts2在 ognl.OgnlRuntime#invokeMethod 中ban掉了常用的class,意味着即使绕过了沙盒依然不能直接调用这些类。

public static Object invokeMethod(Object target, Method method, Object[] argsArray) throws InvocationTargetException, IllegalAccessException {

if (_useStricterInvocation) {

Class methodDeclaringClass = method.getDeclaringClass();

if (AO_SETACCESSIBLE_REF != null && AO_SETACCESSIBLE_REF.equals(method) || AO_SETACCESSIBLE_ARR_REF != null && AO_SETACCESSIBLE_ARR_REF.equals(method) || SYS_EXIT_REF != null && SYS_EXIT_REF.equals(method) || SYS_CONSOLE_REF != null && SYS_CONSOLE_REF.equals(method) || AccessibleObjectHandler.class.isAssignableFrom(methodDeclaringClass) || ClassResolver.class.isAssignableFrom(methodDeclaringClass) || MethodAccessor.class.isAssignableFrom(methodDeclaringClass) || MemberAccess.class.isAssignableFrom(methodDeclaringClass) || OgnlContext.class.isAssignableFrom(methodDeclaringClass) || Runtime.class.isAssignableFrom(methodDeclaringClass) || ClassLoader.class.isAssignableFrom(methodDeclaringClass) || ProcessBuilder.class.isAssignableFrom(methodDeclaringClass) || AccessibleObjectHandlerJDK9Plus.unsafeOrDescendant(methodDeclaringClass)) {

throw new IllegalAccessException("Method [" + method + "] cannot be called from within OGNL invokeMethod() " + "under stricter invocation mode.");

}

}

再看一下OGNL沙盒未限制的操作为:

  • 对象属性 setter/getter(public) 赋/取值,可以访问静态属性。

  • 已实例类的方法调用( OgnlContext 中的对象),不允许调用静态方法

可以看到目前我们只能在 OgnlContext 中寻找可利用的对象。

590273d5cd60edeb4f390ca809e74401.png

看一下 #application 中的 org.apache.tomcat.InstanceManager ,他的键值为类 org.apache.catalina.core.DefaultInstanceManager 的实例化对象,该类为tomcat中的类,其他中间件还未分析,有兴趣可以自己找找看。

8de439db9aa0e734ccc3a4cb92465d58.png

他有一个 newInstance 方法,className 我们可控,最终可以实例化任意无参构造方法的类并返回。

bc849d345176c76af48e5a9fe9a190e2.png

9d6097b8674f9084b7a7d9a9f7918d4d.png

也就是说我们现在绕过了无法new一个对象的限制,不过这个对象必须存在 public 的无参构造方法。

ognl3.1.15中, OgnlContext 又删掉了 CONTEXT_CONTEEXT_KEY 也就是 context 这个key,禁止使用 #context 对 OgnlContext 进行访问。

1eeb4905028049104b1b28e077fea55e.png

而S2-057通过 #attr 、#request 等map对象中的 struts.valueStack 间接获取到了 OgnlContext ,但是补丁把包 com.opensymphony.xwork2.ognl. 加入到了黑名单中,不能调用 OgnlValueStack 的 getContext 方法了,因此这种方法也行不通了。

不过我们可以利用前文的实例化任意无参构造方法条件调用一些方法,间接的帮我们获取到 OgnlContext 。

看一下 org.apache.commons.collections.BeanMap

184c8e9addcb8b5ceff9ffd6d24ebecf.png

跟进 this.initialise(),他会把我传入对象对应class当做bean,提取 get 和 set 方法以及 name 赋值进 readMethods 和 writeMethods 。

614513018dc7ef40dd88e97f4f94cdcd.png

看一下其 get 方法,根据我们传入的 name 调用 readMethods 中对应的 getXxx 方法

8962fe9d769b25c285ad336262638cc1.png

652e4397c056a5e4e43dda00f6993d30.png

而 com.opensymphony.xwork2.ognl.OgnlValueStack 中存在 getContext 方法,因此我们可以拿到 OgnlValueStack 后,利用 BeanMap 间接获取到 OgnlContext

f627e6e6d75d757caeb43df750993303.png

同理我们可以获取到 com.opensymphony.xwork2.ognl.SecurityMemberAccess 对象

e67784089512fc850e91dc36b28b737f.png

并利用 put 方法调用 setExcludedClasses 和 setExcludedPackageNames 覆盖掉黑名单。

821042f672bd0435a69ea8c6cde49e44.png

前面提到了最新的 struts2 即使绕过了沙盒依然不能直接调用常用的类来进行利用,但是我们清空了黑名单之后可以实例化任意黑名单中的类。

看下黑明单包中的类 freemarker.template.utility.Execute,存在无参构造方法 Execute() ,exec 方法可以直接执行命令。

020a3171dbc24eed316cf6cd0e27cccb.png

漏洞证明

23d1537822c1f8e759970954197499b2.png

关于我们

6dac69cdda926ea15b9527b5f537db8a.png

人才招聘

二进制安全研究员(Windows内核方向)

工作地点:

1.杭州;

岗位职责:

1、负责研究Window内核相关漏洞利用技术;

2、负责分析Window内核漏洞的原理及缓解措施;

任职要求:

1、2年以上windows逆向工作经验。

2、熟悉windows底层架构、运行机制,熟悉汇编语言 C/C++语言,熟悉win32/64开发,并有相关开发经验;

3、熟悉windows驱动开发、熟悉windows平台内核架构;能熟练运用Windows平台下的软件调试方法。

4、熟练使用ida、windbg等调试软件工具调试分析漏洞。

5、有CVE编号、内核研究成果者优先;

6、具备良好的团队沟通、协作能力、良好的职业道德。

二进制安全研究员(Linux内核方向)

工作地点:

1.杭州;

岗位职责:

1、负责研究Linux内核相关漏洞利用技术;

2、负责分析Linux内核漏洞的原理及缓解措施;

任职要求:

1、2年以上Linux逆向工作经验。

2、熟悉Linux底层架构、运行机制,熟悉汇编语言 C/C++语言,熟悉x86/64开发,并有相关开发经验;

3、熟悉Linux驱动开发、熟悉Linux平台内核架构;能熟练运用Linux平台下的软件调试方法。

4、熟练使用ida、gdb、lldb等调试软件工具调试分析漏洞。

5、有CVE编号、内核研究成果者优先;

6、具备良好的团队沟通、协作能力、良好的职业道德。

二进制安全研究员(系统应用方向)

工作地点:

1.杭州;

岗位职责:

1、负责安全技术研究,跟踪国内外最新的安全技术以及安全漏洞的追踪;

2、负责进行二进制漏洞挖掘,包括不限于浏览器、chakara引擎、js引擎、office、pdf等等各种二进制类应用;

任职要求:

1、能主动关注国内外最新安全攻防技术,并在自己擅长和兴趣的领域能够进行深入的学习、研究;

2、熟练掌握windbg、ida、gdb等调试工具;

3、熟悉各类二进制安全漏洞原理(堆溢出、栈溢出、整数溢出、类型混淆等等)以及各种利用技术;

4、能够无障碍阅读英文技术文档;

5、具备良好的团队沟通、协作能力、良好的职业道德。

Web安全研究员

工作地点:

1.杭州;

岗位职责:

1、安全攻防技术研究,最新web应用及中间件(tomcat、jetty、jboss等等)、框架(struts、spring、guice、shiro等等) 组件(freemarker、sitemesh等等)漏洞挖掘研究;

2、跟踪分析国内外的安全动态,对重大安全事件进行快速响应;

任职要求:

1、了解常见的网络协议(TCP/IP,HTTP,FTP等);

2、熟练使用Wireshark等抓包工具,熟悉正则表达式;

3、掌握常见漏洞原理,有一定的漏洞分析能力;

4、具备php、python、java或其他相关语言编码能力;

5、对常见waf绕过有一定的基础经验;

6、具备一定的文档编写能力,具备良好的团队共同能力;

7、对安全有浓厚的兴趣,工作细致耐心。

感兴趣的小伙伴请联系Nike,或将简历投送至下方邮箱。(请注明来源“研究院公众号”,并附带求职岗位名称)

联系人:Nike
邮箱:nike.zheng@dbappsecurity.com.cn

weixin_39715513
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
编码转换漏洞_CVE202017530 Struts2(S2061)远程代码执行漏洞
weixin_39959335的博客
01-14 450
漏洞信息漏洞编号:CVE-2020-17530漏洞描述:Apache Struts2框架是第二代基于Model-View-Controller(MVC)模型Java企业级Web应用框架,成为国内外较为流行的容器软件中间件,于2020年12月8日披露S2-061 Struts2远程代码执行漏洞。由于Struts2会对某些标签属性(如id)的属性值进行二次表达式解析,当这些标签属性中使用了%...
Struts2 S2-061 远程命令执行漏洞复现
weixin_44576411的博客
12-21 1680
** Struts2 S2-061 远程命令执行漏洞复现 ** 1. 概述 s2-061 是一个远程命令执行的漏洞Struts2 会对某些标签属性(比如 id,其他属性有待寻找) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 x 的值用户可控时,用户再传入一个 %{payload} 即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。 所以在对漏洞进行绕过时,可以考虑从id入手,这里主要讲怎么复现这个漏洞。 2. 复现 1.用到的工具:pocsuite vulh
S2-061远程代码执行漏洞和fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
weixin_48739941的博客
04-21 2488
1. 复现S2-061远程代码执行漏洞 (1) cd vulhub/struts2/s2-061 切换目录。 (2) docker-compose up -d 启动。 (3) http://192.168.80.161:8080/ (4)执行命令: http://192.168.80.161:8080/?id=%25{(%27Powered_by_Unicode_Potats0%2cenjoy_it%27).(%23UnicodeSec+%3d+%23application[%27or
S2-057,S2-059,s2-061,s2-062漏洞复现
xiaobai_20190815的博客
04-12 2932
一、漏洞描述 当Struts2的标签属性值引用了action对象的参数值时,便会出现OGNL表达式的二次解析,从而产生RCE风险(S2-059的修复方式为只修复了沙盒绕过并没有修复OGNL表达式执行点,因为这个表达式执行触发条件过于苛刻,导致S2-061再次绕过了S2-059的沙盒) 二、影响版本 s2-057:<=Struts 2.3.34,Struts 2.5.16 s2-059:Struts 2.0.0 - Struts 2.5.20 s2-061:Struts 2.0.0-Strut
CVE-2020-17530 Struts2-061远程代码执行漏洞
weixin_45715461的博客
07-01 1903
CVE-2020-17530 Struts2-061远程代码执行漏洞
Struts2 S2-061(CVE-2020-17530)漏洞复现
qq_56258713的博客
07-03 1367
Struts2 S2-061(CVE-2020-17530)漏洞复现
struts2/s2-061(vulhub复现)
qq_40646572的博客
10-31 953
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。S2-061是对S2-059沙盒进行的绕过。
漏洞复现】Struts2 S2-062 (CVE-2021-31805) 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
04-15 3299
文章目录声明前言一、漏洞描述二、漏洞原理三、影响版本四、安全版本五、漏洞细节分析六、本地复现七、漏洞修复 声明 本篇文章仅用于技术研究和漏洞复现,切勿从事非法渗透,造成任何影响与本作者无关,切记! 前言 Apache 官方发布了 Apache Struts2 的风险通告,漏洞编号为 CVE-2021-31805,可能会导致远程代码执行。 一、漏洞描述 此次 Apache Struts2 漏洞CVE-2020-17530 ( S2-061 )的修复不完整,导致输入验证不正确。 如果开发人员使用%{…}
Vulhub靶场之struts2漏洞复现
weixin_66717977的博客
03-21 1296
struts2漏洞中属s2系列杀伤力最大,本文基于vulhub靶场,将介绍并复现strut2漏洞
CVE漏洞复现-CVE-2021-31805-struts2 s2-062 ONGL远程代码执行
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-07 668
Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品。
CVE-2020-17530:S2-061 的payload,以及对应简单的PoCExp
04-25
S2-061 脚本皆根据vulhub的struts2-059/061漏洞测试环境来写的,不具普遍性,还望大佬多多指教 struts2-061-poc.py(可执行简单系统命令) 用法:python struts2-061-poc.py command 例子:python struts2-061-poc.py whoami S2-061-shell.py(可反弹shell) 用法: 首先在一台机器A上监听指定端口(例如:nc -lvvp 7777) 执行脚本:python2 S2-061-shell.py target_url,其中target_url为漏洞环境地址,形式为 根据脚本提示输入A机器的IP及所监听的端口,即可在机器A的监听窗口获取到shell 以下是几个大佬搞出来的payload: payload-1:(from ka1n4t) %{(#instancemanager=#a
s2_061一键getshell工具
12-18
s2_061一键getshell工具
struts2.3.22所需的所有jar包解决struts2的安全漏洞问题
04-24
struts2.3.22所需的所有jar包解决struts2的安全漏洞问题
Struts2 S2-061 远程命令执行漏洞CVE-2020-17530)复现
锋刃科技的博客
12-11 7051
漏洞简介 Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。 影响版本 Apache Struts 2.0.0 - 2.5.25 环境搭建 这里使用docker进行安装 项目地址: https://github....
CVE-2020-17530)Struts2 S2-061 远程命令执行漏洞【复现】
ximo的博客
04-02 392
简介 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 漏洞概述 S2-061是对S2-059的绕过,Struts2官方对S2-059的修复方式是加强OGNL表达式沙盒,而S2-061绕过了该沙盒。 影响版本 Struts 2.0.0-Struts 2.5.25 环境搭建 使用vulhub+docker环境,进入漏洞目录,启动: /vulhub/vulhub-maste
s2-061(CVE-2020-17530)漏洞复现+利用+getshell工具。
szgyunyun的博客
12-17 3030
声明 本文仅用于技术交流,请勿用于非法用途 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 文章作者拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 S2_061出来有一阵子了,早就想搞一波了,都是出差给耽误了。 漏洞简介 Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apac
Struts2 S2-061 远程命令执行漏洞CVE-2020-17530)
Lsec的博客
03-12 375
目录 DNSLog验证漏洞 通过构造POST包去执行命令 执行反弹SHELL命令 DNSLog验证漏洞 DNSLog地址:http://dnslog.cn/ POST /index.action HTTP/1.1 Host: 192.168.1.131:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0 Accept: text/html,appli.
s2-061漏洞复现
Birdman-one的博客
12-11 1895
s2-061 Struts2介绍 是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值