Apache Struts2远程代码执行漏洞(S2-001)复现

原创 已于 2023-05-04 14:16:51 修改 · 3.6k 阅读 · 7
标签
#struts #java #网络安全 #linux #apache
于 2023-05-04 14:16:05 首次发布
文章详细介绍了ApacheStruts2的S2-001远程代码执行漏洞,包括漏洞产生的原因、受影响的版本范围、漏洞的工作原理和复现步骤。通过示例展示了OGNL表达式的使用,并提供了漏洞复现的环境配置和利用POC。最后,给出了修复该漏洞的建议,即升级Struts或XWork版本。

Apache Struts2远程代码执行漏洞(S2-001)复现

0X00 漏洞简介

​ 此漏洞源于 Struts 2 框架中的一个标签处理功能:altSyntax。在开启时,支持对标签中的 OGNL 表达式进行解析并执行。Struts 2允许用户提交包含 OGNL 表达式字符串的表单数据,若表单验证失败,则服务器会将用户之前提交的OGNL 表达式(如:%{1+1}) 进行解析执行,然后将结果重新填充到对应的表单数据中。但OGNL 解析代码实际上是在 XWork 中,struts2标签解析主要依赖于 xwork2,所以该漏洞可以理解为 xwork2 的漏洞。

安全公告:https://cwiki.apache.org/confluence/display/WW/S2-001

影响范围:

  • WebWork 2.1(启用 altSyntax)

  • WebWork 2.2.0 ~ WebWork 2.2.5

  • Struts 2.0.0 ~ Struts 2.0.8

0X01 相关知识

Struts 2

​ Apache Struts 2最初被称为WebWork 2,它是一个简洁的、可扩展的框架,可用于创建企业级Java web应用程序。设计这个框架是为了从构建、部署、到应用程序维护方面来简化整个开发周期。

Struts 2 处理请求的大致流程如下:

image-20221208102619293

部分关键词说明:

  • Action:Struts2框架的核心,适用于任何MVC(Model View Controller)框架,在Web应用程序中将每个URL映射到特定的action,让其提供处理来自用户的请求所需的处理逻辑。
  • struts.xml:Struts2 框架的核心配置文件,主要用于配置 Action 和请求的对应关系,以及配置逻辑视图和物理视图。

Struts2处理请求过程:

  1. 用户发送 HTTP 请求给 Web 服务器。

  2. 当服务器接收请求后,经过一系列过滤器交由 Strust 2处理。

  3. Strust 2读取配置文件struts.xml,调用指定的拦截器,将请求分发至指定Action。

  4. Action处理请求调用对应JavaBean。

  5. JavaBean返回对应处理结果。

  6. Action 根据结果返回对应结果码。

  7. 读取配置文件struts.xml,根据返回的结果码,返回指定 jsp 页面。

  8. 返回HTTP响应。

OGNL

​ OGNL(Object-Graph Navigation Language,对象图导航语言):一种强大的表达式语言,用于引用和操作值栈上的数据,还可用于数据传输和类型转换,其类似于JSP表达式语言。

​ OGNL基于上下文中存有根对象或默认对象的理念,使用标记符号(即#号)来引用默认或根对象的属性。OGNL是基于上下文的,所以Struts构建了一个ActionContext映射以供OGNL使用。 ActionContext映射包含以下内容:

  • 应用程序(Application)—— 应用程序作用域变量
  • 会话(Session) ——会话作用域变量
  • 根/值栈 (ValueStack)—— 所有的action变量都存储在这里
  • 请求 (Request)——请求作用域变量
  • 参数 (Param)——请求参数
  • 属性 (Property)——存储在页面,请求,会话和应用程序作用域中的属性

​ 下面是一些OGNL在引入了struts标签的jsp页面中的用法:

<%--注,在jsp页面中要引入struts标签库,如下: --%>
<%@ taglib uri="/struts-tags" prefix="s" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
	<head>
    	<title>TEST</title>
	</head>
	<body>
		<%--注:ActionContext中的对象使用#号引用 --%>
		登录成功,你的姓名为:<s:property value="#name"/>
		<%--注:Action对象在值栈中总是可用的,因此如果一个Action对象有username和password属性,就可以随时使用这两个属性。如下: --%>  
		登录成功,你的用户名为:<s:property value="username"/>
	</body>
</html>

​ 若在会话中有一个名为“role”的属性,就可以按如下方式检索:

<s:property value="#session.role"/>

​ OGNL还支持处理集合即Map,List和Set。例如,要显示城市的下拉列表,可以使用如下代码:

<s:select name="city" list="{'Shanghai','Chengdu','Beijing','Wuhan'}" />

​ 除了#,% 在 OGNL 表达式中也经常出现,它提供一个OGNL表达式运行环境。如下:

// 计算1+1
%{1+1}
// 获取user对象的username属性值
%{#user.username}

​ OGNL 表达式还支持类静态的方法调用和值访问,表达式的格式:@[类全名(包括路径名)]@[方法名|值名],例如:

// 调用java.lang.String的format方法,拼接字符串,结果为:成都Chengdu
@java.lang.String@format('成都%s','Chengdu')

0X02 漏洞分析

漏洞环境

​ 此处用于分析调试的漏洞环境为:tomcat 9.0.22 + Struts 2.0.8 ,使用IDEA创建一个简单的 Struts 2 项目,有两个jsp页面,一个登录页面(index.jsp),登录成功后的欢迎页面(welcome.jsp)。编写用于处理登录逻辑的Action——LoginAction.java,登录成功则跳转到欢迎界面,否则返回登录页面。

Struts 2.0.8 下载地址:http://archive.apache.org/dist/struts/binaries/struts-2.0.8-all.zip

jsp页面关键代码如下,使用 struts 标签在 jsp 页面中构建表单,在欢迎页面显示登录成功的提示语句。

index.jsp
...
<s:form action="login">
  <s:textfield name="username" label="username" />
  <s:textfield name="password" label="password" />
  <s:submit></s:submit>
</s:form>
...
welcome.jsp
...
登录成功 , <s:property value="username"&
最低0.47元/天 解锁文章
Apache Struts2远程代码执行漏洞复现(CVE-2021-31805)
0xSec
01-12 1828
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts2框架漏洞(附漏洞修复方法)
C233333235的博客
08-07 1068
Apache Struts 2 最初被称为 WebWork 2,它是一个简洁的、可扩展的框架,可用于创建企业级Java web应用程序。设计这个框架是为了从构建、部署、到应用程序维护方面来简化整个开发周期。Struts 22007年7月23日发布的第一个Struts 2漏洞S2-001Struts2漏洞是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。
漏洞复现 - - -Struts2(s2-045)远程命令执行漏洞
weixin_67503304的博客
08-22 7989
从源码的角度分析Struts2(s2-045)远程命令执行漏洞,利用java详细讲解造成漏洞的原因,包含了Structs2高危漏洞exp的扫描利用工具
常用框架学习()——Struts2
热门推荐
不忘初心的博客
06-14 3万+
1.1  Struts2概述1.1.1  什么是Struts2Struts2是由Apache社区的Struts1和Opensysmphony的Webwork整合而来,Struts负责对http请求的处理,Webwork负责业务逻辑处理。1.1.2 运行环境搭建1.导入13个jar包(在Struts2自带的demo中可以找到最少所需包)2.需要在web.xml文件中配置StrutsPrepareAn...
Struts2远程代码执行漏洞(CVE-2020-17530) 复现及排查
dayouzi的博客
08-15 2344
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。CVE-2020-17530是对CVE-2019-0230的绕过,Struts2官方对CVE-2019-0230的修复方式是加强OGNL表达式沙盒,而CVE-2020-17530绕过了该沙盒。在特定的环境下,远程攻击者通过构造恶意的OGNL表达式,可造成任意代码执行
Struts2示例应用深入解析与实践:Struts2Demo2
weixin_42620563的博客
10-23 734
本文还有配套的精品资源,点击获取 简介:Struts2Demo2是一个基于Apache Struts2框架的示例应用程序,旨在展示如何利用Struts2构建动态Web项目。Struts2是一个基于MVC设计模式的Java Web框架,通过核心组件Action类实现业务逻辑处理,并通过struts.xml等配置文件定义Web应用行为。本应用深入讲解了Struts2的关键组件,...
Apache Struts2远程代码执行漏洞(S2-001)复现总结
qq_45746681的博客
10-06 2368
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Struts2远程代码执行漏洞(S2-001)复现检验方法利用漏洞进行命令执行 前言 为了加深对struts漏洞的理解,记录下复现struts漏洞的过程. 一、Struts2远程代码执行漏洞(S2-001)复现 在这里使用墨者学院的靶场进行复现 检验方法 在表格中输入%{1+1}看返回结果是否为2 返回结果都为2,证明账户和密码表格处都存在这个漏洞 利用漏洞进行命令执行 输入以下代码进行命令执行 %{ #a=(new
Apache Struts是什么?高效实现应用程序控制器
杨荧的CSDN博客
06-27 3622
Apache Struts是什么?高效实现应用程序控制器
Struts2 远程代码执行漏洞S2-001分析
st3pby的博客
01-05 1610
首先来了解 OGNL 表达式,OGNL(Object Graphic Navigatino Language)的中文全称为“对象图导航语言”,是应用于Java中的一个开源的功能强大的表达式语言(Expression Language),它被集成在Struts2等框架中,通过简单一致的表达式语法,可以存取对象的任何属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。OGNL进行对象存取操作的API在Ognl.java文件中,分别是getValue、setValue两个方法。
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 9129
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
Apache Struts2远程代码执行漏洞(S2-001)
weixin_47493074的博客
09-29 784
Apache Struts2远程代码执行漏洞(S2-001)
S2-001漏洞分析
灰蜗牛
02-23 1796
Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架。S2-001漏洞是由于 Struts 2 框架处理 HTTP 请求中某些参数的方式存在缺陷。具体来说,该框架无法正确验证这些参数中的用户输入,从而允许攻击者将恶意负载注入应用程序。有效负载可以包含应用程序处理请求时在服务器上执行的任意代码。
Apache Struts2漏洞复现之s2-005漏洞复现
热爱学习,喜欢折腾!
09-01 749
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java ServletAPI,鼓励开发者采用MVC架构。 缘起于Apache Struts的WebWork框架,旨在提供相对于Struts框架的增强和改进,同时保留与Struts框架类似的结构。2005年12月,WebWork宣布WebWork 2.2Apache Struts 2的名义合并至Struts2007年2月第一个全发布(full release)版本释出。
关于 Apache Struts 2 存在远程代码执行漏 洞的安全公告
weixin_48421613的博客
04-13 3793
2022 年 4 月 12 日,Apache 官方公布 S2-062 远程代码执 行漏洞安全公告,漏洞编号为 CVE-2021-31805。 一、漏洞描述 Apache Struts 是一个免费的开源 MVC 框架,用于创建 优雅的现代 Java Web 应用程序。它支持约定优于配置,可使 用插件架构进行扩展,并附带支持 REST、AJAX 和 JSON 的插 件。 由于对 CVE-2020-17530(S2-061)的修复不完整,导致输 入验证不正确。如果开发人员使用 %{…}语法应用强制 OGNL 解析
全面解析Struts2框架架构及核心架包
weixin_42452483的博客
09-27 1690
本文还有配套的精品资源,点击获取 简介:Struts2作为基于MVC设计模式的Java Web应用程序框架,提供了一个结构化、可扩展且易于维护的开发环境。它包含核心库、插件和依赖库等,通过Action、Result、Interceptor等组件处理请求、业务逻辑和视图展示。此外,Struts2支持OGNL表达式语言、丰富的插件体系、异常处理、国际化与本地化、主题和皮肤定制以...
Struts2 远程代码执行漏洞复现(S2-001
Welcome To My6n Blog
03-14 1957
Struts2 是一个基于 MVC 设计模式的 Web 应用框架,作为控制器来建立模型与视图的数据交互。此漏洞源于 Struts 2 框架中的一个标签处理功能:altSyntax。在开启时,支持对标签中的 OGNL 表达式进行解析并执行。Struts 2 的 “altSyntax” 功能允许将 OGNL 表达式插入到文本字符串中并递归处理,这允许恶意用户提交一个字符串,通常通过 HTML 文本字段,其中包含一个 OGNL 表达式(如 %{1+1}),如果表单验证失败,服务器将执行该表达式。
深入理解Struts2框架核心组件
最新发布
weixin_42451850的博客
11-17 622
本文还有配套的精品资源,点击获取 简介:Struts2是一个基于MVC模式的Java Web开发框架,其核心库版本 . .* . 包含了处理请求、动作映射和结果渲染等核心功能。本内容将详细解析Struts2框架的核心组件及其关键知识点,包括Action、Interceptor、Result、ActionMapping、Plug-in机制等,并指出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值