S2-029 远程代码执行漏洞检测与利用

最新推荐文章于 2024-05-29 15:28:18 发布
转载 最新推荐文章于 2024-05-29 15:28:18 发布 · 1.5k 阅读 · 0

本文深入分析Struts2029漏洞,探讨其在不同版本中的表现及修复情况。通过源码跟踪,揭示漏洞根源及双重执行机制。

概述

struts2 029漏洞已经爆出一段时间,网上有一些相关分析,首先,漏洞确定是出现在OGNL解释执行的过程,具体漏洞测试poc网上已经有很多,我在2.2.1、2.3.24.1、2.3.25、2.5beta3、2.3.26上面测试都可以执行,不过修改的安全参数稍微不同。

2.2.1只需要下面几个:

#_memberAccess['allowPrivateAccess']=true

#_memberAccess['allowProtectedAccess']=true

#_memberAccess['allowPackageProtectedAccess']=true

#_memberAccess['allowStaticMethodAccess']=true

2.3.24.1和2.5beta3则需要:

#_memberAccess['allowPrivateAccess']=true

#_memberAccess['allowProtectedAccess']=true

#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties']

#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties']

#_memberAccess['allowPackageProtectedAccess']=true

#_memberAccess['allowStaticMethodAccess']=true

2.3.25和2.3.26 则需要

#_memberAccess['excludedPackageNames']=#_memberAccess['acceptProperties']

#_memberAccess['allowPrivateAccess']=true

#_memberAccess['allowProtectedAccess']=true

#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties']

#_memberAccess['excludedClasses']=#_memberAccess['acceptProperties']

#_memberAccess['allowPackageProtectedAccess']=true

#_memberAccess['allowStaticMethodAccess']=true

话说官方说的升级到2.3.25就没事了是咋回事?

分析

下面就对2.3.25进行跟踪分析一下。

首先官网还没有2.3.25的编译版本下载,有的只是beta版。而beta版的代码经过对比,发现还是有很多与2.3.25不同的,故github 2.3.25源码,然后mvn install -Dmaven.test.skip=true编译。

编译好之后,部署测试程序。Poc测试代码如下:

这里先说明一下,漏洞的根源是调用findString、findValue等函数。所以切换到
/struts-STRUTS_2_3_25/core/src/main/java/org/apache/struts2/components下面,对这里的源码进行查找findValue参数,可以发现很多类都有调用

下面我们对textfield这个标签举例进行跟踪分析。Textfield有很多属性,

我们先看下size属性,通过findString查找size,findString的定义如下:

可以看到它实际调用findValue(expr,String.class),定义如下:

而这个函数判断传入的如果是String类的话,会调用TextParseUtil.translateVariables,先解析字符串后在去执行expr,否则直接执行expr。getStack().findValue()就是代码被解释执行的位置,这时候的expr的%{}会被去掉。

这里注意到一个问题,就是相对2.3.25之前的版本,此处多了一个ComponentUtils.containsExpression(expr)判断,该函数是检测expr表达式中是否同时包含”%{“和”}”,如果是,返回真。也就是检测传入的字符串是不是标准的OGNL表达式。这个判断可能会有点用。比如,如果我们想通过size参数带入执行代码,如果我们直接写size=”expr”,那么expr进入findValue(expr,String.class)后过不了ComponentUtils.containsExpression(expr)的判断,什么都不执行直接返回。想要执行,必须写成%{expr}。其他用途还没看出来。

下面还要说下readonly属性,这个属性是布尔型,而findValue(expr,String.class)中如果不是String类型的话,不需要%{}就可以直接执行,也就是说readonly=”expr”就会被执行。

上面说的是OGNL代码的正常执行过程,代码只被执行一次。而这次漏洞报的是双重执行,也就是expr在一次请求中存在被解释执行两次的情况。这个情况在i18n源码中存在,具体细节请参考http://www.freebuf.com/vuls/99432.html。通过图2,可以发现在UIBean中也存在这样的情况。进一步查找,可以发现可疑情况:

其中UIBean中有三处出现对name属性进行执行的操作,查看代码逻辑发现果然有问题:

其中就有TextField。而UIBean的属性也不少。其中的name和value值得关注。

先是

得到name的string,之后到这里

会先尝试获取value的值,如果value为空,那么就二次解释执行了name。并且在执行前给name加上了”%{}”。最终造成二次执行。

而UIBean被很多类继承:

类似的textarea、label、hidden等都存在二次执行问题。

另外在2.3.25中多了#_memberAccess['excludedPackageNames']

所以必须将其清空,我们的payload才能执行。

结论

该漏洞可利用性比较困难,能够双重执行的属性位于name中,而我们通常可以传参的地方是value(不排除哪个程序员可以让你操控name属性值,同时你的value值还为空的情况),查找value的执行情况:

出现在Param.java和UIBean.java中,而阅读代码后,发现这两次执行都是位于不同分支中,不能造成二次执行的情况。

所以此次漏洞危害不算大,不过就是官方说的修复有点不理解。最后给出我测试的2.3.25和2.3.26的完整war包,测试uri:http://localhost:8080/2.3.25/http://localhost:8080/2.3.26/

执行的命令是touch /tmp/fuckp4e。部署并访问uri后,如果出现此文件,说明存在漏洞。

Apache Struts2远程代码执行漏洞(S2-029)复现
qq_36933272的博客
09-03 1688
打开源代码,发现传递信息的参数是message 查找S-2-029的poc,(#_memberAccess[‘allowPrivateAccess’]=true,#_memberAccess[‘allowProtectedAccess’]=true,#_memberAccess[‘excludedPackageNamePatterns’]=#_memberAccess[‘acceptPropert...
【vulhub】Struts2 S2-053 远程代码执行漏洞(CVE-2017-12611)
weixin_42884199的博客
12-07 585
前言 Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemarker解析一次后变成离开一个表达式,被OGNL解析第二次,导致任意命令执行漏洞。 影响版本: Struts 2.0.1 - Struts 2.3.33, Struts 2.5 - Struts 2.5.10 一、启动靶机 docker-compose build docker-compose up -d 二、验证 payload: %{(223*223
0x27.Apache Struts2远程代码执行漏洞(S2-029)复现
qq_31679787的博客
10-21 925
s2-029:强制使用Apache Struts框架时,会对分配给某些标签的属性值进行双重评估,因此可以传递将在呈现标签属性时再次评估的值 打开源代码发现传递的参数为message; poc: (#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAcces...
墨者学院-Apache Struts2远程代码执行漏洞(S2-029)复现
JimWu的博客
09-04 1200
Apache Struts2远程代码执行漏洞(S2-029)复现 难易程度:★★ 题目类型:命令执行 使用工具:FireFox浏览器、burpsuite 漏洞原理:由于在标记属性中对原始用户输入进行评估时,强制双OGNL评估导致远程代码执行。 1.打开靶场,了解一下S2-029漏洞的原理。 2.构造POC,执行命令ls查看文件。 (#_memberAccess[‘allowPrivateAcces...
Struts2 S2-029远程代码执行漏洞
weixin_34149796的博客
03-23 207
Struts2作为广泛应用的Web框架,安全问题一直层出不穷。为了保证安全,在业务处理中不应信任用户提交上来的任何数据,做好安全过滤。最好能在Ognl的执行入口加入过滤黑名单,并及时将Struts更新至2.3.25(未发布)。 struts2官网发布最新为2.5beta,无法下载到2.3.25。maven也无法找到资源,但是可以在https://repository.apache.org/con...
在线靶场-墨者-命令执行2-Apache Struts2远程代码执行漏洞(S2-029)复现
weixin_42079912的博客
08-09 421
这个漏洞的原理Struts框架被强制执行时,对分配给某些标签的属性值进行双重评估,因此可以传入一个值,当一个标签的属性将被渲染时,该值将被再次评估。 打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。 Struts2漏洞检查工具2017版下载地址:https://www.jb51.net/softs/574358.html。 打开Struts2漏洞...
Strust2 远程代码执行漏洞[s2-005]
流水不争先,争的是滔滔不绝
05-29 904
漏洞影响版本【2.0.0 - 2.1.8.1】
【Vulfocus解题复现】Struts2 S2-048 远程命令执行漏洞 (CVE-2017-9791)
温氏效应
09-04 4214
漏洞介绍 名称:Struts2 S2-048 远程命令执行漏洞 CVE标识符:CVE-2017-9791 描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型视图的数据交互。 攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。 解题过程 1、打开靶场环境 2、.
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
攻击者可以通过提交恶意的、可反序列化的对象,触发远程代码执行(RCE)。 接下来是s2-016漏洞(CVE-2016-1000031),这是2016年发现的一个高危漏洞,也OGNL有关。此漏洞在于Struts2的...
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029远程代码执行漏洞初探1
Struts2-S2-029漏洞分析1
08-08
我把OGNL表达式的执行流程走了一遍,发现Struts2开发人员在对ONGL表达式中的赋值操作时将判断条件写反了,这样一来就直接导致了前边做的所有的安全策略,在
S2-029 Struts2 标签远程代码执行分析(含POC)
JIESA的专栏
03-25 1813
0×00  标签介绍 Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。 Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。 Struts2的标签库有一个巨大的改进之处,struts2标签库的标签不依赖于任何表现层技术,也就是说 strtus2提供了大部分
s2-029 Struts2 标签远程代码执行分析(含POC)
angaoux03775的博客
03-18 258
1、标签介绍 Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。 Struts2的标签库有一个巨大的改进之处,struts2标签库的标签不依赖于任何表现层技术,也就是说strtus2提供了大部分标签,可以...
Struts2远程代码执行漏洞检测的原理和代码级实现
程序设计与安全 @EVAN-CSS
08-20 4197
想必最近很火的Struts2漏洞大家应该有所耳闻吧,如果你没听说也没关系,关于这个漏洞的描述可以用一句话总结:漏洞很普遍,后果很严重。由于JavaEE的应用普遍偏向于使用SSH框架(Spring+Struts+Hibernate)开发,而且存在漏洞的Struts 所有主流的Java中间件服务器都可能受到该漏洞的影响,特别是大家喜欢的Tomcat,问题尤为严重,倒不是因为Tomcat上Strut
Struts2框架漏洞总结复现(下)
剁椒鱼头没剁椒的博客
02-08 3275
Apache Struts 1插件的Apache Struts 2.3.x 版本中存在远程代码执行漏洞,该漏洞出现于Struts2的某个类中,该类是为了将Struts1中的Action包装成为Struts2中的Action,以保证Struts2中的Struts1插件启用的情况下,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到ActionMessage类中,从而导致任意命令执行,进而获取目标主机系统权限。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
Struts2远程代码执行漏洞复现
02-04 840
Struts2远程代码执行漏洞介绍、原理和复现,以及怎么使用工具检测。
Struts2-059 远程代码执行漏洞(CVE-2019-0230)分析
weixin_46236101的博客
10-14 4516
前言 2020年8月13日虽然近几年来关于ONGL方面的漏洞已经不多了,但是毕竟是经典系列的RCE漏洞,还是有必要分析的。而且对于Struts2和OGNL了解也有助于代码审计和漏洞挖掘。 首先了解一下什么是OGNL,Object Graphic Navigation Language(对象图导航语言)的缩写,Struts框架使用OGNL作为默认的表达式语言。 struts2_S2_059和S2_029漏洞产生的原理类似,都是由于标签属性值进行二次表达式解析产生的,细微差别会在分析中提到。 漏洞利用前置条件是
作为武器的CVE-2018-11776:绕过Apache Struts 2.5.16 OGNL 沙箱
一个码农的笔记
11-22 3734
翻译自:https://lgtm.com/blog/apache_struts_CVE-2018-11776-exploit 翻译:聂心明 这篇文章我将介绍如何去构建CVE-2018-11776的利用链。首先我将介绍各种缓解措施,这些措施是Struts 安全团队为了限制OGNL 的能力而设置的,并且我也会介绍绕过这些措施的技术。我将重点介绍SecurityMemberAccess 类的一般改进,这...
Struts2 S2-061 远程命令执行漏洞
最新发布
08-05
### Struts2 S2-061 远程代码执行漏洞分析 Apache Struts2 是一个广泛使用的 Java Web 开发框架,其设计基于 MVC 架构,提供了强大的标签库和 OGNL 表达式解析功能。然而,在 2020 年 12 月 8 日,Apache Struts 官方披露了 S2-061 远程代码执行漏洞(CVE-2020-17530),该漏洞源于某些标签属性在特定情况下会进行 OGNL 表达式的二次解析,从而导致 OGNL 注入漏洞。攻击者可以构造恶意请求,远程执行任意命令,甚至控制服务器,造成严重安全风险 [^1]。 漏洞的核心在于 Struts2 对某些标签属性(如 `id`)的值进行两次 OGNL 表达式解析。当这些属性值中包含 `%{x}` 形式的内容,且 `x` 的值由用户控制时,攻击者可以注入恶意的 OGNL 表达式,例如 `%{payload}`,从而触发远程代码执行 [^3]。 S2-061 是对之前 S2-059 漏洞的修复绕过。S2-059 的补丁主要修复了沙盒绕过问题,但未完全阻止 OGNL 表达式的执行。S2-061 利用了 `org.apache.commons.collections.BeanMap` 类,该类存在于 `commons-collections-x.x.jar` 包中,而 Struts2 官方最小依赖包并未包含此库。因此,即使存在支持 OGNL 表达式注入的点,若未使用该依赖包,也无法成功利用 [^3]。 ### 漏洞影响范围 S2-061 漏洞影响使用 Apache Struts2 的多个版本,尤其是在使用某些标签属性时存在 OGNL 表达式二次解析的情况。攻击者可以构造特定的请求,利用该漏洞远程执行任意命令,进而控制服务器,造成数据泄露、系统瘫痪等严重后果 [^1]。 ### 修复方案 1. **升级 Struts2 版本**:官方在漏洞披露后发布了修复版本,建议用户尽快升级到 Struts 2.5.26 或更高版本。新版本中对 OGNL 表达式的解析机制进行了改进,避免了标签属性的二次解析问题 [^1]。 2. **避免使用用户输入构造 OGNL 表达式**:在开发过程中,应避免将用户输入直接拼接到 OGNL 表达式中,尤其是标签属性值。应使用安全的输入验证和输出编码机制,防止恶意输入被当作表达式解析 [^3]。 3. **移除不必要的依赖库**:由于 S2-061 的利用依赖于 `commons-collections` 包,因此建议检查项目依赖,移除不必要的 `commons-collections` 版本,以降低攻击面 [^3]。 4. **启用安全模式(沙盒)**:Struts2 提供了安全模式(沙盒)功能,可以在一定程度上限制 OGNL 表达式的执行。建议在配置文件中启用沙盒模式,并限制表达式的执行权限 [^4]。 5. **部署 Web 应用防火墙(WAF)**:为了进一步增强安全性,建议在前端部署 Web 应用防火墙(WAF),对请求进行过滤和检测,识别并拦截包含 OGNL 表达式的恶意请求 [^2]。 ### 示例代码:安全的输入处理 以下是一个简单的示例,展示如何避免将用户输入直接拼接到 OGNL 表达式中: ```java public class SafeInputAction { private String userInput; public String execute() { // 对用户输入进行过滤和转义 String safeInput = escapeUserInput(userInput); // 将安全处理后的输入用于业务逻辑 // ... return "success"; } private String escapeUserInput(String input) { // 实现输入过滤逻辑,如移除特殊字符 if (input == null) { return null; } return input.replaceAll("[^a-zA-Z0-9]", ""); } // Getter 和 Setter public String getUserInput() { return userInput; } public void setUserInput(String userInput) { this.userInput = userInput; } } ``` 在 JSP 页面中,确保标签属性不直接使用用户输入构造 OGNL 表达式: ```jsp <s:textfield name="userInput" label="请输入内容" /> ``` ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值