Strust2远程代码执行漏洞(S2-033)利用分析

最新推荐文章于 2024-05-31 18:19:08 发布
最新推荐文章于 2024-05-31 18:19:08 发布
阅读量3.6k 收藏
点赞数
分类专栏: 渗透测试 文章标签: struts2 s2-033

0x00前言

5月12日,Struts官方发布安全公告称,Apache Strut2 REST插件存在漏洞,可以远程执行任意指令,该漏洞编号为S2-033(CVE-2016-3087 ),公告详情如下:

启明星辰ADLab通过分析发现,该漏洞依附于前一段时间闹得沸沸扬扬的S2-032漏洞,Struts官方发布的S2-033安全公告只是针对性地对REST插件功能存在的安全问题进行补充,其漏洞技术成因与S2-032相同。

0x01S2-033漏洞分析(一)

根据官方的漏洞描述,当开启动态方法调用,并且同时使用了Strut2 REST Plugin插件时,使用“!”操作符调用动态方法可能执行ognl表达式,导致代码执行。

以官方APP包struts2-rest-showcase-280为例,根据漏洞描述,问题出现在RestActionMapper这个类,定位到这个类如下:

其中,getMapping方法用于解析处理REST格式的url。

首先,调用RequestUtils.getUri(request)获取request对象的uri(url除去域名端口之外的链接);然后,uri经过dropExtension、parseNameAndNamespace、handleDynamicMethodInvocation等方法处理,但最关键的是dropExtension、handleDynamicMethodInvocation这两个方法。

dropExtension会循环匹配uri是否以“.json”、“.xml”、“.xhtml”等关键字结尾,如果是的话就将这些关键字去掉,剩下的字符返回给uri。所以利用url必须以”.json”、”.xml”、“.xhtml”等关键字结尾。

然后执行到handleDynamicMethodInvocation这个方法将“!”操作符后边的字符串赋值给actionMethod,如果allowDynamicMethodCalls(是否允许动态方法调用)为true,则将actionMethod添加到mapping的method属性中。

最后,执行到DefaultActionInvocation类的 invokeAction方法时,会取出methodName,由ognlUtil.getValue进行ognl表达式解析。

流程示意图如下所示:

根据上述分析容易构造出如下payload:

http://localhost:8080/struts2-rest-showcase-280/orders!%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@Java.lang.Runtime@getRuntime%28%29.exec%28%23parameters.command[0]),%23v%3d123,%23v.toString.json?&command=calc.exe

payload经过上述处理后最终的有效method为:

#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec(#parameters.command[0]),#v=123,#v.toString

至于payload 为什么这么写可以参考S2-032的技术分析,原理是一样的。

分析结束,但意外的是实际测试漏洞并未触发。

经过调试发现,Order(action实例)并未进行初始化,导致clientName为null,当程序走到RestWorkflowInterceptor这个过滤器的时候直接return到serverlet输出错误结果。

定位到原因了,只要将Order类实例化即可,修改后的payload如下:

http://localhost:8080/struts2-rest-showcase-280/orders/3!%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime%28%29.exec%28%23parameters.command[0]),%23xx%3d123,%23xx.toString.json?&command=calc.exe

0x02S2-033漏洞分析(二)

上述是根据官方通告的内容定位到漏洞位置并构造出了payload,但到这还没有结束, struts2在相同的位置还存在一个漏洞,并且可无视allowDynamicMethodCalls,就是说在配置了struts.enable.DynamicMethodInvocation为false的情况下该漏洞依然可以触发。相应代码如下图所示:

Strut2 REST Plugin还支持actionName/id/methodName这种方式处理解析uri。直接将id后面的内容作为method属性设置到mapping中,并且未检测struts.enable.DynamicMethodInvocation该属性是否为true,这种方式不再需要使用“!”操作符。

流程图如下所示:

构造的Payload如下:

http://localhost:8080/struts2-rest-showcase-280/orders/3/%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime%28%29.exec%28%23parameters.command[0]),%23xx%3d123,%23xx.toString.json?&command=calc.exe

结果如下:

0x03漏洞修复

Struts官方已发布升级程序修复该漏洞,建议用户升级至struts 2.3.20.3,2.3.24.3,2.3.28.1版本。但从Struts 2.3.20.3的修复方案看,该版本并没有使用cleanupActionName过滤方法名,而是采用了S2-013的修补方案,将enableEvalExpression设置为false,禁止了ognl表达式执行。不得不说该方案确实简单暴力,至少S2-029、S2-032、S2-033这几个漏洞是不复存在了,但是如果Struts官方哪天不注意又把enableEvalExpression设置成了true,该处就可能再次产生新的利用方式。

0x04 参考资料

http://developer.51cto.com/art/201203/322509.htm

http://seclab.dbappsecurity.com.cn/?p=924

https://cwiki.apache.org/confluence/display/WW/S2-013

fsrm01
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华平信息技术股份有限公司 AVCON6 系统管理平台存在任意文件下载漏洞
nnn2188185的博客
05-02 251
华平信息技术股份有限公司是一家视讯产品与应用提供商,掌握视频处理、视音频编解码和网络适应性等。华平信息技术股份有限公司 AVCON6 系统管理平台存在任意文件下载漏洞,攻击者可以利用漏洞下载系统文件。
Struts2远程代码执行漏洞
杨博程的专栏
03-18 3405
Struts2远程代码执行漏洞 本文摘自:http://www.oschina.net/news/74386/struts-2-cve-2016-4438 今年4月份,Apache Struts 2之上发现的S2-033远程代码执行漏洞,以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危漏洞的修复方案还是无效的。
Strust2远程代码执行漏洞S2-033
锋刃科技的博客
07-02 453
前言 Apache Strut2 REST插件存在漏洞,可以远程执行任意指令 影响版本 Struts 2.3.20 – Struts 2.3.28 (不包括 2.3.20.3和 2.3.24.3)。 环境搭建 docker pull medicean/vulapps:s_struts2_s2-033 docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-033 打开your-IP:80/orders即可看到页面 漏洞利用 po
struts2漏洞工具_Struts2 漏洞集合_零开始黑客入门教程
最新发布
2401_84915584的博客
05-31 674
总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做
S2-033漏洞分析
乐枕的家
06-14 1184
概述 item detail Impact of vulnerability Possible Remote Code Execution Maximum security rating High Recommendation Disable Dynamic Method Invocation if possible. Alternatively upgrade to
S2-033S2-037
weixin_30532973的博客
05-05 266
前言 S2-033漏洞S2-032类似,也是由于开启了动态方法调用,action mapper中的执行的方法名可控,导致了ognl表达式注入。 正文 Rest插件中获取action mapper是用的RestActionMapper.getMapping() 其实逻辑和DefaultActionMapper中的差不多,也是用handleDynamicMetho...
Struts2远程代码执行漏洞分析S2-013)1
08-08
Struts2 远程代码执行漏洞分析S2-013) Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
04-26
升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029 远程代码执行漏洞初探 Struts2 是一个基于 Java 的 Web 框架,使用 OGNL 表达式来访问 ActionContext 中的对象数据。在 Struts2 中,标签库使用 OGNL 表达式来获取对象数据,例如 `...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
Struts2 漏洞 S2-045 修补方法 Struts2 是一个基于 Java 的 Web 应用程序框架,广泛应用于企业级应用程序中。然而,Struts2 中存在着一些漏洞,例如 S2-045 漏洞,该漏洞可能会导致严重的安全问题。今天,我们将...
S2-029 Struts2 标签远程代码执行分析(含POC)
JIESA的专栏
03-25 1715
0×00  标签介绍 Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。 Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。 Struts2的标签库有一个巨大的改进之处,struts2标签库的标签不依赖于任何表现层技术,也就是说 strtus2提供了大部分
Apache Struts 远程代码执行漏洞(CVE-2016-3081)复现
锋刃科技的博客
03-05 2112
影响版本 Apache Struts 2.3.19 to 2.3.20.2, 2.3.21 to 2.3.24.1, and 2.3.25 to 2.3.28 漏洞概述 远程用户可以向已启用动态方法调用以在目标系统上执行任意代码的目标服务器提供包含“method:”前缀的巧尽心思构建的表达式 环境搭建 下载地址 http://archive.apache.org/dist/struts/2.3.20/ 这里下载的是struts-2.3.20-apps.z...
墨者Apache Struts2远程代码执行漏洞(S2-008)复现题解
zr1213159840的博客
01-15 718
我们先查询一下这个漏洞的相关信息,链接如下: https://github.com/vulhub/vulhub/blob/master/struts2/s2-008/README.zh-cn.md 可以发现是直接在url后面添加相应的poc就会被执行,上面链接提供的不太行,主要似乎是弹出计算器的,我们使用如下的poc,由于这类题目的key都是在key.txt中,我们直接上手拿到key吧,也不用ls一步步看了。如果需要的话,也可替换相应的cat /key.txt命令为ls查看。 debug=command&a
若依框架漏洞(若依管理框架漏洞复现)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-28 4319
若依框架是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。若依框架漏洞默认口令漏洞早期若依框架漏洞版本有反序列化漏洞执行任意命令,漏洞复现,祭出fofa大法,fofa语法如下
Struts2最全面的远程命令执行漏洞梳理
LuoOpening的博客
03-29 831
OGNL的全称是对象图导航语言( Object-Graph Navigation Language),它是一种用于获取和设置 Java对象属性的开源表达式语言,以及其他附加功能,是Struts2的默认表达式语言。使用这种表达式语言,可以利用表达式语法树规则,存储Java对象的任意属性,调用Java对象的方法,同时能够自动实现期望的类型转换。OGNL最初是作为一种使用属性名称在UI组件和控制器之间建立关联的方法。
Struts2漏洞S2-001)漏洞原理及复现
weixin_73180072的博客
09-09 388
Struts2中允许用户提交包含OGNL表达式字符串的表单数据; 若表单验证失败,服务器会将用户提交的OGNL表达式进行解析执行
S2-032 远程代码执行漏洞(CVE-2016-3081)
EC_Carrot的博客
08-11 384
漏洞简介 影响版本: Struts 2.3.20 - Struts Struts 2.3.28 (except 2.3.20.3 and 2.3.24.3) 详细请看:https://github.com/vulhub/vulhub/blob/master/struts2/s2-032/README.zh-cn.md 漏洞复现 直接请求如下URL,即可执行id命令: http://your-ip:8080/index.action?method:%23_memberAccess%3d@ognl.OgnlCo
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-032(CVE-2016-3081)
qq_51577576的博客
11-25 480
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-032(CVE-2016-3081) Apache Struts 2是世界上最流行的Java Web服务器框架之一。Struts 2上存在高危安全漏洞(CVE-2016-3081,S02-32),黑客可以利用漏洞直接执行任意代码,绕过文件限制,上传文件,执行远程命令,控制服务器,直接盗取用户的所有资料,该漏洞广泛影响所有struts版本。
apache struts2框架命令执行漏洞(s2-045、s2-046)
01-11
Apache Struts2框架是一种流行的开源Web应用程序开发框架,但曾经发生过多个命令执行漏洞,其中包括s2-045和s2-046漏洞s2-045漏洞源于在处理远程表达式语言(OGNL)时存在安全漏洞,攻击者可以利用构造特定的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值