查看原文
其他

区分Spring与Struts2框架的几种新方法

听风安全 2023-11-28

The following article is from 希潭实验室 Author ABC_123

免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

Part1前言

在近几年的HW比赛、红队项目中,攻击队在外围打点时,越来越依赖于对Java站点的漏洞挖掘。Java站点的主流框架大致就是两个:Struts2系列(包括Webwork等)及Spring系列(包括Spring MVC、SpringBoot等)。很多攻击队员在查找网站漏洞时,由于无法判断出网站所使用的框架,对于.do结尾的网站上去就是用Struts2工具、Spring漏洞工具开扫,这样的做法效率极低,容易被WAF封禁IP,进而导致错过相关漏洞。

网上的区分Struts2与Spring的方法,大多数是通过查看.do及.action后缀、网页报错、网站error异常、浏览器favicon.ico图标、Struts2拦截器报错等等,但是这些方法适用范围比较窄。

本人前几年在调试分析S2-016、S2-032等漏洞的时候,无意中发现了几个特别简单实用的方法,现分享给大家。简单来说,就是利用Struts2框架和Spring框架在处理一些特殊的URL路径时,返回结果不一样的特性。

Part2方法汇总

方法1、URL中添加不存在路径

在URL的反斜杠部分添加网站不存在的路径,最好是随机字符串组成的较长路径,如果返回同样的页面,则大概率是Struts2框架,如果返回404或者是报错,则大概率是Spring框架。

比如说:http://192.168.237.128:8080/struts2_032/example/aaaaaa1/bbbbbbbb2/ccccccccc3/HelloWorld.action

在Struts2框架下,完全可以正常返回页面。

而Spring框架会出错


具体判断过程应参考如下步骤,一会儿讲讲具体原因:

对于如下URL:http://127.0.0.1:9999/S2_016_war/barspace/login.do

第1步:

在最后右边反斜杠处添加一个不存在的路径/xxxxxxxxxx/,如下所示:

http://127.0.0.1:9999/S2_016_war/barspace/xxxxxxxxx/login.do 返回与原URL相同页面,则是Struts2框架

http://127.0.0.1:9999/S2_016_war/barspace/xxxxxxxxx/login.do 返回与原URL异同页面,则是Spring框架

第2步:

如果两个URL均报错、或者均正常,无法区分,那么继续在前一个反斜杠处添加一个不存在的路径,如下所示:

http://127.0.0.1:9999/S2_016_war/xxxxxxxxx/barspace/login.do 返回与原URL相同页面,则Struts2框架

http://127.0.0.1:9999/S2_016_war/xxxxxxxxx/barspace/login.do 返回与原URL异同页面,则是Spring框架

第3步:

如果还是没法区分,继续在前一个反斜杠处添加一个不存在的路径,如下所示:

http://127.0.0.1:9999/xxxxxxxxx/S2_016_war/barspace/login.do 返回与原URL相同页面,则Struts2框架

http://127.0.0.1:9999/xxxxxxxxx/S2_016_war/barspace/login.do 返回与原URL异同页面,则是Spring框架

按照前面的步骤,依次添加不存在的路径,直到URL根目录为止。

原理1:Struts2的URL构造

如果了解Struts2框架的读者,一眼就能看明白这种方法的原理,对于其他读者,要想弄明白这个方法的原理,首先需要看一下Struts2的URL构造:

Struts2站点的URL路径包括四部分组成:工程名+namespace命名空间+action名+Struts2扩展名,举个例子,对于如下URL:http://127.0.0.1:9999/S2_016_war/barspace/login.action

如果在Struts2框架中,大致应该这样去分析这个URL:

/S2-016-war/部分是war包部署的工程名,也可以说是项目名、上下文等等,说法不一。

/barspace/部分是Struts2的命名空间namespace。

/login部分是Struts2的action名,指向具体处理请求的Java类。

.action部分是Struts2的扩展名,也可以定义为.do、.dw等等。

参考如下的struts.xml配置文件:

同样对于URL:http://127.0.0.1:9999/S2_016_war/barspace/login.action

如果网站应用直接部署在Tomcat根目录下,则工程名可以为空,此时URL如下所示:

http://127.0.0.1:9999/barspace/login.action

如果namespace设置为空,则URL如下:

http://127.0.0.1:9999/login.action

如果Struts2请求的扩展名为空,则URL如下:

http://127.0.0.1:9999/login(由此可见,这种URL路径也可能是Struts2框架的)

其中namespace可以配置为/barspace/spac1、action也可以配置为/login/user.action。这也是为什么有时候,我们需要在URL的每一个反斜杠前都添加一次不存在URL路径的原因,因为很难直接从URL中判断出哪一部分是namespace、哪一部分是action名。

原理2:Struts2向上查找action名

在了解了Struts2的URL构造之后,接下来看一下如下URL,在Struts2下是可以返回正常页面的:http://127.0.0.1:9999/S2_016_war/barspace/aaaaaaaaaa1/bbbbbbbb2/ccccccccc3/ddddddddddddd4/login.action

因为按照Struts2框架规则,首先会在当前路径下找action名login,如果没有找到去上一层找,还没有找到会去上上层找,一直找到应用程序的根路径为止。层层向上查找,直接找到应用程序为止。(真实的流程比这个复杂)

注:在网站的前端如果有nginx时,这种方法可能会无效,因为nginx可能会配置一些特殊URL转发,这时候就是nginx转发优先了。

方法2、URL添加/struts/domTT.css

在URL的Web应用根目录下添加/struts/domTT.css,如果返回css代码,那么99%是Struts2。

注:这个domTT.css文件在网站源码文件中是找不到的,用磁盘搜索的方式搜索不到的,那为什么能访问到呢,因为这个文件在Struts2的jar包中。

原理:凡是以/struts开头的URL,Struts2的过滤器都会到struts2-core-2.0.x.jar:/org/apache/struts2/static/下面去找资源,然后读取此文件内容。

举例如下:

http://192.168.237.128:8080/struts2_032/example/HelloWorld.action

在网站根目录下添加/struts/domTT.css后访问,返回css代码。

http://192.168.237.128:8080/struts2_032/struts/domTT.css

注: 有一些低版本的Struts2框架,domTT.css文件不存在,需要更换为其它静态文件路径。

方法3、404、500响应码返回信息

输入一个不存在的路径,返回404页面,或者传入一些乱码字符,造成当前页面500响应码报错,抛出异常信息。

Struts2常用的关键字有这些:例如no action mapped、struts2、namespace、defined for action等。

Spring的报错信息如下:含有Whitelabel Error Page 关键字

方法4:看网站图标favicon.ico

注意看下图的左上角,有一片小绿叶的图标,那基本上就是Spring了,而Struts2框架没有常用的favicon.ico图标。

Part3总结:

  1. URL扩展名不能用于区分Struts2、Spring框架,.do结尾的URL可能是Struts2、也可能是Spring,具体看程序员在配置文件中怎么写。

  2. 利用处理特定URL时返回页面不相同的方法,可以区分不同的框架。

  3. 总结各种报错信息,可以区分不同Web应用所采用的框架。

  4. 多调试分析一下公开的漏洞,也会发现很多有趣的东西。还有其它的方法,有待大家挖掘。



不可错过的往期推荐哦


SRC挖掘葵花宝典

记一次“不讲武德”的短信验证码绕过

SRC漏洞挖掘之看不见的羊毛

供应链投毒事件调查:一个免杀爱好者沦为“肉鸡”的全过程!

【蓝队篇】Weblogic反序列化攻击不依赖日志溯源攻击时间

从钓鱼邮件溯源到反制上线

记一次渗透中的Password加密爆破过程

【蓝队篇】jsp型webshell被删情况下如何溯源攻击时间

达梦数据库手工注入笔记

点击下方名片,关注我们

觉得内容不错,就点下“”和“在看

如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存