struts2远程S2-012复现学习

最新推荐文章于 2024-04-06 10:40:27 发布
原创 最新推荐文章于 2024-04-06 10:40:27 发布 · 3.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #安全 #web安全

本文详细介绍了Struts2的S2-012漏洞,该漏洞源于配置Action中Result使用重定向类型并结合${param_name}

S2-012复现

原理:

如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,UserAction 中定义有一个 name 变量,当触发 redirect 类型返回时,Struts2 获取使用 ${name} 获取其值,在这个过程中会对 name 参数的值执行 OGNL 表达式解析,从而可以插入任意 OGNL 表达式导致命令执行。

影响版本:Struts 2.1.0-2.3.13

<package name="S2-012" extends="struts-default">
    <action name="user" class="com.demo.action.UserAction">
        <result name="redirect" type="redirect">/index.jsp?name=${name}</result>
        <result name="input">/index.jsp</result>
        <result name="success">/index.jsp</result>
    </action>
</package>

漏洞搭建

在这里插入图片描述

poc构建

%25%7b%23%61%3d%28%6e%65%77%20%6a%61%76%61%2e%6c%6
最低0.47元/天 解锁文章
(s2-012) Struts2 远程代码执行
weixin_45253622的博客
12-16 2833
影响版本 2.1.0 - 2.3.13 漏洞原理 如果在配置result在action时使用了重定向类型,并且$ {PARAM_NAME}也被用作重定向变量,例如: <package name="S2-012" extends="struts-default"> <action name="user" class="com.demo.action.UserAction"> <result name="redirect" type="redirect"&g
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
qq_51577576的博客
12-15 1986
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
漏洞复现----32Struts2/S2-012
七天
06-29 747
文章目录一、漏洞原理二、环境启动三、漏洞复现 一、漏洞原理 在S2-003、005、009解决了参数名称及参数值处OGNL 表达式评估问题,其修复方案也是基于将可接受的参数名称列入白名单并拒绝对参数中包含的表达式进行OGNL解析,如此一来,这些修复动作也仅对部分漏洞有效果。 S2-012中,包含特制请求参数的请求可用于将任意 OGNL 代码注入属性,然后用作重定向地址的请求参数,这将导致进一步评估。当重定向结果从堆栈中读取并使用先前注入的代码作为重定向参数时,将进行第二次评估。这使恶意用户可以将任意 O
CVE-2013-1965 S2-012复现
m0_46684679的博客
01-30 1456
CVE-2013-1965 S2-012 远程代码执行漏洞复现
Struts2 S2-012复现
ZJT6666666的博客
12-22 293
Struts2 S2-012复现
buuctf [struts2]s2-012
qq_1873822的博客
03-21 472
漏洞简介 如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,例如: <package name="S2-012" extends="struts-default"> <action name="user" class="com.demo.action.UserAction"> <result name="redirect" type="redirect">/index.jsp?n
vulhub系列之struts2(s2-001、s2-007、s2-008、s2-009、s2-012)
weixin_43071873的博客
11-26 1615
S2-001 远程代码执行漏洞 漏洞详情: 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 影响版本: Struts 2.0.0 - Struts 2.0.8 漏洞复现: 测试漏洞,%{1+1} 提交后报错返回解析为
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1636
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)
qq_51577576的博客
10-14 1495
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870) s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用
[漏洞复现]Apache Struts2/S2-012 RCE(CVE-2013-1965)
k5664524的博客
01-10 666
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)允许远程攻击者通过在调用重定向时未正确处理的精心设计的参数名称执行任意 OGNL 代码。
S2-RCE漏洞复现之S2-008、S2-009、S2-012
不想当脚本小子的脚本小子
02-07 326
S2-008 RCE: http://note.youdao.com/noteshare?id=34c9b26ad2b1aa68ea2d90c470494f5c&sub=787243D32DCE4BA8B18C4E4F726D5CAC S2-009 RCE: http://note.youdao.com/noteshare?id=80738a6edbac5ce7d91ea12bd71ea01c&sub=00E06768A8984D3FB63FFA8879767429 S2-012 R
『Java安全Struts 2.3.14.2 重定向参数二次解析OGNL注入漏洞S2-012复现与浅析
Ho1aAs‘s Blog
08-26 564
result是重定向并且配置参数时,该参数会从值栈弹出并进行OGNL解析,最后填充到URL完成重定向。
S2-012 远程代码执行漏洞
网络安全。
02-14 1162
影响版本: Struts22.1.0-2.3.13 漏洞原理: 如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,例如: &lt;package name="S2-012" extends="struts-default"&gt; &lt;action name="user" class="com.demo.acti...
S2-012 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-14 3135
前言 漏洞环境改自vulhub的,环境地址 https://github.com/kingkaki/Struts2-Vulenv/tree/master/S2-012 漏洞信息 https://cwiki.apache.org/confluence/display/WW/S2-012 当发生重定向时,OGNL表达式会进行二次评估,导致之前在S2-003、S2-005、S2-009进...
s2系列——s2-012,s2-013,s2-015,s2-016
qq_54030686的博客
03-03 4127
struts系列漏洞不在复现,插入payload即可,更换想要执行的命令即可,相关payload在vulhub中的readme.md文档中可以获取到,由于逻辑都一样,利用脚本直接使用github的struts.py即可 s2-012 ```go ```go ```go ```python def s2012(url): try: proxy = '192.168.43.74:8080' # 本地代理 proxies = { 'http
S2-012远程代码执行(CVE-2013-1965)
m0_65150886的博客
01-09 804
Struts2框架中,如果配置Action中的Result时使用了重定向类型,并且还使用${param_name}作为重定向变量,当触发redirect类型返回时,Struts2使用${param_name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任意OGNL表达式导致任意代码执行。如此即可继承Web服务器程序的权限,去执行系统命令或读写文件,通过反弹shell控制整个网站,甚至控制整个服务器。1.访问http://ip:port,出现如下页面,开始实验。
vulhub中Struts2-012 远程代码执行漏洞复现
yougexiaojiuguan的博客
04-06 418
漏洞复现过程的记录
s2-012远程代码执行漏洞
Stephen Wolf
11-18 1050
一、漏洞描述: 如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量 xml <package name="S2-012" extends="struts-default"> <action name="user" class="com.demo.action.UserAction"> ...
struts2漏洞复现s2-009
最新发布
04-01
### Struts2 S2-009 漏洞复现方法 Struts2 的 S2-009 漏洞主要源于其对 OGNL 表达式的处理不当,允许攻击者通过特定的输入执行任意代码。以下是关于该漏洞的具体分析以及如何进行复现的方法。 #### 背景介绍 Struts2 对于之前版本中的某些安全问题进行了修复,例如针对 S2-003 和 S2-005 的修补措施分别涉及禁用 `#` 号和反斜杠 `\` 符号[^1]。然而,在这些修复之后,新的绕过方式被发现并最终导致了 S2-009 漏洞的发生。 #### 影响范围 此漏洞影响以下版本: - **Struts 2.0.0 到 Struts 2.3.14.2** #### 漏洞原理 S2-009 是由于开发者未能完全阻止恶意用户构造特殊的 URL 参数来触发 OGNL 表达式解析器的行为所致。具体来说,即使框架已经尝试过滤掉一些敏感字符(如 `#`),但仍然可以通过其他手段实现类似的逻辑操作,从而达到远程命令执行的目的。 #### 复现步骤描述 为了成功重现这一漏洞,可以按照如下方式进行设置: 1. 准备目标应用程序环境,确保运行的是受影响范围内未打补丁的 Struts 版本; 2. 构造含有恶意 payload 的 HTTP 请求发送给服务器端口监听地址; - Payload 示例形式可能类似于下面这样 (需替换实际 IP 地址) : ```bash http://<target-ip>:8080/example.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{%22cmd.exe%22,%22/c%22,%22dir%22})).start()} ``` 上述例子展示了如何利用 `${}` 结构嵌入一段 Java 代码片段到请求参数当中去调用系统 shell 命令。 注意:以上仅为理论说明用途,请勿非法测试他人网站! #### 防护建议 为了避免此类安全隐患再次发生,官方推荐采取以下防护策略之一或者组合使用它们: - 升级至最新稳定版 Struts 库文件; - 自定义配置白名单验证机制限制外部可控变量的内容类型; - 开启开发模式下的调试日志记录功能以便及时发现问题所在位置。 ```python import requests url = 'http://localhost:8080/example.action' payload = {'redirect': '${@java.lang.Runtime@getRuntime().exec("id")}'} response = requests.get(url, params=payload) print(response.text) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

脚本实习生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值