S2-037 远程代码执行漏洞检测与利用

最新推荐文章于 2024-05-29 15:28:18 发布
转载 最新推荐文章于 2024-05-29 15:28:18 发布 · 1.2k 阅读 · 1

本文深入分析Struts2 S2-037远程代码执行漏洞,该漏洞无需开启动态方法执行即可触发,影响2.3.20至2.3.28.1版本。文章详细描述了漏洞利用思路及修复建议。

struts2 s2-037远程代码执行漏洞介绍

S2-037的漏洞利用思路建立在s2-033的基础只上,还是对method没有进行过滤导致的,漏洞影响Struts 2.3.20 – Struts 2.3.28.1版本,使用到REST插件的Struts2应用,会被攻击者实现远程代码执行攻击,struts2 历次的漏洞公告和详情官方都有专门的页面进行整理和汇总,可以从这个页面找到历次的struts2的漏洞。

https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

struts2 s2-037漏洞详情分析

此次的s2-037是基于033的一个绕过,在033中,需要开启动态方法执行,也就是032的条件,同时还需要安装rest插件。而037中,不需要开启动态方法执行就能触发代码执行漏洞。

首先看看033触发过程

开启动态方法执行需要在struts.xml中配置,这和032没区别

在getMapping方法中,在处理动态代码执行过程中设置的属性没有做过滤

因为在uri中的!后面的属性加入到了mapping中,然后如果开启了动态代码执行,也就是allowDynamicMethodCalls开启,最后method会进入到com.opensymphony.xwork2.DefaultActionInvocation类的invokeAction方法,之后的就是跟032一样了,可以参考之前的我们分析struts2漏洞的文章。

接下来看看037怎么绕过开启动态方法,通杀所有rest插件的。

在调用完handleDynamicMethodInvocation(mapping, mapping.getName());后面又调用了

同时看到这里没有判断

所以这个地方不需要开启动态执行,同时也在这里给出了提示

这里加上了三目运算符才绕过测试结果如下:

可以看到成功执行了system命令。

Poc:

目前官方已经在该页面给出了公告。

https://cwiki.apache.org/confluence/display/WW/S2-037

受影响的用户请尽快升级您的版本到2.3.29。

在线靶场-墨者-命令执行2-Apache Struts2远程代码执行(S2-037)复现
weixin_42079912的博客
08-09 491
原理是在使用REST插件时,可以传递可用于在服务器端执行任意代码的恶意表达式。 打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。 方法一:Struts2检查工具2017版下载地址:https://www.jb51.net/softs/574358.html。 打开Struts2检查工具2017版。将靶场网址输入进去,数据提交方式更改...
【vulhub】Struts2 S2-053 远程代码执行(CVE-2017-12611)
weixin_42884199的博客
12-07 585
前言 Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemarker解析一次后变成离开一个表达式,被OGNL解析第二次,导致任意命令执行。 影响版本: Struts 2.0.1 - Struts 2.3.33, Struts 2.5 - Struts 2.5.10 一、启动靶机 docker-compose build docker-compose up -d 二、验证 payload: %{(223*223
Struts 2再曝远程代码执行S2-037 (CVE-2016-4438)
weixin_33928467的博客
06-16 695
2019独角兽企业重金招聘Python工程师标准>>> ...
墨者Apache Struts2远程代码执行(S2-037)复现题解
zr1213159840的博客
01-15 1093
也还是继续找poc,我们使用以下poc #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#process=@java.lang.Runtime@getRuntime().exec(#parameters.command[0]),#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()),@org.apache.commons.io.IOUtils@
墨者学院-Apache Struts2远程代码执行(S2-037)复现
JimWu的博客
09-04 948
Apache Struts2远程代码执行(S2-037)复现 难易程度:★★ 题目类型:命令执行 使用工具:FireFox浏览器 原理:利用REST插件调用特定表达式实现远程执行代码。 1.打开靶场,了解一下S2-037的原理。 2.构造poc,执行命令ls /查看文件。 %23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_A...
Struts(S2-037)远程代码执行预警
煜铭2011
06-16 8755
Struts(S2-037)远程代码执行 一、基本信息 CVE编号:CVE-2016-4438 名称:Struts(S2-037)远程代码执行 发布日期:2016.615 受影响的软件及系统:Apache struts 2.3.20 - 2.3.28.1 版本使用了REST插件的用户 概述:Apache Struts 2是世界上最流行的Java Web服务器框
Strust2 远程代码执行[s2-005]
流水不争先,争的是滔滔不绝
05-29 904
影响版本【2.0.0 - 2.1.8.1】
【Vulfocus解题复现】Struts2 S2-048 远程命令执行 (CVE-2017-9791)
温氏效应
09-04 4214
介绍 名称:Struts2 S2-048 远程命令执行 CVE标识符:CVE-2017-9791 描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型视图的数据交互。 攻击者构造恶意字段值(value)通过Struts2struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。 解题过程 1、打开靶场环境 2、.
struts2反序列化,存在s2-005、s2-016、s2-016_3、s2-017
08-28
攻击者可以通过提交恶意的、可反序列化的对象,触发远程代码执行(RCE)。 接下来是s2-016(CVE-2016-1000031),这是2016年发现的一个高危,也OGNL有关。此在于Struts2的...
S2-033、S2-037
weixin_30532973的博客
05-05 354
前言 S2-033和S2-032类似,也是由于开启了动态方法调用,action mapper中的执行的方法名可控,导致了ognl表达式注入。 正文 Rest插件中获取action mapper是用的RestActionMapper.getMapping() 其实逻辑和DefaultActionMapper中的差不多,也是用handleDynamicMetho...
CTF-Apache Struts2远程代码执行(S2-037)复现
asd158923328的博客
08-22 1774
根据题意 概述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。该编号为CVE-2016-4438,目前命名为S2-037。,黑客可以利用直接执行任意代码,绕过文件限制,上传文件,执行远程命令,控制服务器,直接盗取用户的所有资料,该广泛影响所有s...
Struts 2再曝远程代码执行S2-037
weixin_33717298的博客
06-22 185
导读今年4月份,Apache Stuts 2之上发现的S2-033远程代码执行,以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危的修复方案还是无效的。   悲剧的事情今天又再度发生了,这次发现的Struts 2编号为CVE-2016-4438。 这是又一个很严重的远程代码执行:使用了REST插件的用户就会遭遇该问题,有关该的详情如下: ...
Struts2-037 exp 检测脚本
浮生若梦的专栏
06-17 3025
from:http://zone.wooyun.org/content/27865 s2-037背景: 建立在033的基础上,还是对method没有进行过滤导致的,但是033的payload的要做转变才能检测 启用动态调用方法为true 支持rest插件 rest介绍: 使用http://localhost:8080/bee/action-name/1/XXX这种请求方式,其实XX
linux struts2,Struts 2再曝远程代码执行S2-037
weixin_29539581的博客
05-16 222
导读今年4月份,Apache Stuts 2之上发现的S2-033远程代码执行,以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危的修复方案还是无效的。悲剧的事情今天又再度发生了,这次发现的Struts 2编号为CVE-2016-4438。 这是又一个很严重的远程代码执行:使用了REST插件的用户就会遭遇该问题,有关该的详情如下:Apache...
介绍及修复建议(汇总,建议收藏后期会不断更新)
qq_44005305的博客
03-09 2767
未分类Host 头攻击(高危)域名访问限制不严格(高危)URL 重定向(中危)会话劫持(中危)会话固定(中危)DNS 域传送(中危)检测到网站被黑痕迹(高危)传输层保护不足(中危)服务器启用了 TRACE Method 方法 (中危)点击劫持(X-Frame-Options 头缺失)(中危)启用了不安全的 HTTP 方法(启用了 OPTIONS 方法)(中危)Tomcat 版本过低 (中危)Apache Tomcat 示例目录 (中危)
360众测靶场题库之13- Apache Struts2远程代码执行(S2-037)
zjl12344的博客
03-06 191
360众测靶场题库
常规web渗透测试描述及修复建议
weixin_34150830的博客
11-12 1902
Apache样例文件泄 测试方法   在链接的根目录中添加examples或者docs目录进行访问判断! 描述  apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作 修复建议  1、删除样例文件 2、对apache中web.xml进行相关设置 弱口令 测试方法   先手工尝试一些最基本的弱口令,如admin...
Struts2 S2-061 远程命令执行
最新发布
08-05
### Struts2 S2-061 远程代码执行分析 Apache Struts2 是一个广泛使用的 Java Web 开发框架,其设计基于 MVC 架构,提供了强大的标签库和 OGNL 表达式解析功能。然而,在 2020 年 12 月 8 日,Apache Struts 官方披露了 S2-061 远程代码执行(CVE-2020-17530),该源于某些标签属性在特定情况下会进行 OGNL 表达式的二次解析,从而导致 OGNL 注入。攻击者可以构造恶意请求,远程执行任意命令,甚至控制服务器,造成严重安全风险 [^1]。 的核心在于 Struts2 对某些标签属性(如 `id`)的值进行两次 OGNL 表达式解析。当这些属性值中包含 `%{x}` 形式的内容,且 `x` 的值由用户控制时,攻击者可以注入恶意的 OGNL 表达式,例如 `%{payload}`,从而触发远程代码执行 [^3]。 S2-061 是对之前 S2-059 的修复绕过。S2-059 的补丁主要修复了沙盒绕过问题,但未完全阻止 OGNL 表达式的执行。S2-061 利用了 `org.apache.commons.collections.BeanMap` 类,该类存在于 `commons-collections-x.x.jar` 包中,而 Struts2 官方最小依赖包并未包含此库。因此,即使存在支持 OGNL 表达式注入的点,若未使用该依赖包,也无法成功利用 [^3]。 ### 影响范围 S2-061 影响使用 Apache Struts2 的多个版本,尤其是在使用某些标签属性时存在 OGNL 表达式二次解析的情况。攻击者可以构造特定的请求,利用远程执行任意命令,进而控制服务器,造成数据泄露、系统瘫痪等严重后果 [^1]。 ### 修复方案 1. **升级 Struts2 版本**:官方在披露后发布了修复版本,建议用户尽快升级到 Struts 2.5.26 或更高版本。新版本中对 OGNL 表达式的解析机制进行了改进,避免了标签属性的二次解析问题 [^1]。 2. **避免使用用户输入构造 OGNL 表达式**:在开发过程中,应避免将用户输入直接拼接到 OGNL 表达式中,尤其是标签属性值。应使用安全的输入验证和输出编码机制,防止恶意输入被当作表达式解析 [^3]。 3. **移除不必要的依赖库**:由于 S2-061 的利用依赖于 `commons-collections` 包,因此建议检查项目依赖,移除不必要的 `commons-collections` 版本,以降低攻击面 [^3]。 4. **启用安全模式(沙盒)**:Struts2 提供了安全模式(沙盒)功能,可以在一定程度上限制 OGNL 表达式的执行。建议在配置文件中启用沙盒模式,并限制表达式的执行权限 [^4]。 5. **部署 Web 应用防火墙(WAF)**:为了进一步增强安全性,建议在前端部署 Web 应用防火墙(WAF),对请求进行过滤和检测,识别并拦截包含 OGNL 表达式的恶意请求 [^2]。 ### 示例代码:安全的输入处理 以下是一个简单的示例,展示如何避免将用户输入直接拼接到 OGNL 表达式中: ```java public class SafeInputAction { private String userInput; public String execute() { // 对用户输入进行过滤和转义 String safeInput = escapeUserInput(userInput); // 将安全处理后的输入用于业务逻辑 // ... return "success"; } private String escapeUserInput(String input) { // 实现输入过滤逻辑,如移除特殊字符 if (input == null) { return null; } return input.replaceAll("[^a-zA-Z0-9]", ""); } // Getter 和 Setter public String getUserInput() { return userInput; } public void setUserInput(String userInput) { this.userInput = userInput; } } ``` 在 JSP 页面中,确保标签属性不直接使用用户输入构造 OGNL 表达式: ```jsp <s:textfield name="userInput" label="请输入内容" /> ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值