2. 程式人生 > >S2-052 遠端程式碼執行漏洞檢測與利用

S2-052 遠端程式碼執行漏洞檢測與利用

阿新 發佈:2018-12-16

除錯環境搭建

使用官方的rest-sample即可,下載2.5.12版本的原始碼https://github.com/apache/struts/archive/STRUTS_2_5_12.zip,然後將apps下面的rest-showcase原始碼脫下來。

Eclipse中新建一個maven工程,web.xml,pom.xml和struts.xml如下:

pom.xml

<!-- struts2依賴包 -->
<dependency>
<groupId>org.apache.struts</groupId>
<artifactId>struts2-core</artifactId>
<version>2.5.12</version>
</dependency>
<!-- struts restful 依賴包 -->
<dependency>
<groupId>org.apache.struts</groupId>
<artifactId>struts2-convention-plugin</artifactId>
<version>2.5.12</version>
</dependency>
<dependency>
<groupId>org.apache.struts</groupId>
<artifactId>struts2-rest-plugin</artifactId>
<version>2.5.12</version>
</dependency>

struts.xml(src/main/resources/下)


<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
"http://struts.apache.org/dtds/struts-2.5.dtd">
<struts>
<!-- Overwrite Convention -->
<constant name="struts.convention.action.suffix" value="Controller"/>
<constant name="struts.convention.action.mapAllMatches" value="true"/>
<constant name="struts.convention.default.parent.package" value="rest-default"/>
<constant name="struts.convention.package.locators" value="action"/>
<constant name="struts.convention.result.path" value="/WEB-INF/"/>
</struts>

其他的action檔案、jsp檔案複製過來到maven工程的對應目錄即可,右鍵啟動專案,然後瀏覽器可以訪問到:http://127.0.0.1:8080/struts2-052/orders,說明除錯環境搭建成功。

漏洞分析

根據該漏洞發現者文章https://lgtm.com/blog/apache_struts_CVE-2017-9805所述,是一個叫ContentHandler的東西有問題。

在2.5.12原始碼中搜索這個字串:

在struts-plugin.xml配置了很多的bean,這些bean按照content-type進行分類,並唯一指定一個具體的Handler。這些Handler都實現了ContentTypeHandler介面。

從API DOC上描述

Handles transferring content to and from objects for a specific content type

來看,這個ContentTypeHandler實際上是按照Content-type的不同,將請求的資料丟給指定的子類進行處理,具體是怎麼處理的呢,以XStreamHandler為例:

這裡實際上就是把XML和java物件之間進行轉化,比較專業的詞彙叫“marshal“和”“unmarshal”。從以往的例子看,這種情況導致的命令執行也不是一次兩次了,json轉換庫如fastjson,jackson都有過漏洞,

這次換成了Struts2裡的XML的物件轉換。其實就是XStreamHandler的toObject方法中觸發了漏洞,我們就先在這行程式碼下斷點,執行poc之後,會發現斷點生效了。

我們來看看呼叫函式流程資訊:

在Restful模式下,對Action的路由處理是使用Rest系列的程式碼,這裡是ContentTypeInterceptor類呼叫的XStreamHandler方法。我們來看看上層程式碼中的intercept方法:

首先是從HttpServletRequest裡判斷ContentType,可以很清晰的看到,通過ContentType將request的位元組流分發給對應的Handler進行處理。當ContentType為application/xml的時候,

很自然的就分發給了XStreamHandler這個類來處理,這個類沒有進行任何校驗,直接進行了轉換。我們可以用marsshalsec工具來生成payload。

(1)下載原始碼https://github.com/mbechler/marshalsec

(2)maven編譯 mvn clean package -DskipTests

(3)去target目錄下找到jar檔案,執行:
 

java -cp marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.XStream ImageIO "calc" > 1.txt

然後將這段XML用POST發給struts2-rest,當然,ContentType要設定為xml的,然後就可以觸發了。當命令中有空格時,提交多個<string>節點即可。

後話

關於如何從XML到命令執行的過程,實際上是Moritz Bechler大神的一個paper,https://github.com/mbechler/marshalsec/blob/master/marshalsec.pdf,這個paper隨著marshalsec工具釋出。

這裡只分析Struts2的漏洞原因,關於XML->RCE過程,大家可以仔細閱讀這個paper進行深入瞭解。
 

參考

https://lgtm.com/blog/apache_struts_CVE-2017-9805

 

相關推薦

S2-052 遠端程式碼執行漏洞檢測利用

除錯環境搭建 使用官方的rest-sample即可,下載2.5.12版本的原始碼https://github.com/apache/struts/archive/STRUTS_2_5_12.zip,然後將apps下面的rest-showcase原始碼脫下來。 Eclipse中新建一個mave

S2-032 遠端程式碼執行漏洞檢測利用

什麼是STRUTS 2漏洞? Struts 是Apache軟體基金會(ASF)贊助的一個開源專案,通過採用JavaServlet/JSP技術,實現基於Java EEWeb應用的MVC設計模式的應用框架,Struts 2是Struts的下一代產品,是在 Struts 1和WebWork的技術基礎上

S2-029 遠端程式碼執行漏洞檢測利用

概述 struts2 029漏洞已經爆出一段時間,網上有一些相關分析,首先,漏洞確定是出現在OGNL解釋執行的過程,具體漏洞測試poc網上已經有很多,我在2.2.1、2.3.24.1、2.3.25、2.5beta3、2.3.26上面測試都可以執行,不過修改的安全引數稍微不同。 2.2.1只需

S2-016遠端程式碼執行漏洞檢測利用

概述 S2-016是13年7月爆出的,那時候的我還沒涉及Web安全研究。這次遲到的分析也算是對過去的補充。這個漏洞影響了Struts 2.3.15.1之前的所有版本。問題主要出在對於特殊URL處理中,redirect與redirectAction後面跟上Ognl表示式會被伺服器執行。 漏洞分

S2-013 遠端程式碼執行漏洞檢測利用

前言 S2-014是對於S2-013修復不完整的造成的漏洞,會在漏洞分析中提到,所以文字的主要分析的還是S2-013 而且在分析的時候,發現參考網上資料時對於漏洞觸發邏輯的一些錯誤 至少目前我自己是那麼認為的:) 漏洞環境根據vulhub修改而來,環境地址 https://gi

S2-037 遠端程式碼執行漏洞檢測利用

struts2 s2-037遠端程式碼執行漏洞介紹 S2-037的漏洞利用思路建立在s2-033的基礎只上,還是對method沒有進行過濾導致的,漏洞影響Struts 2.3.20 – Struts 2.3.28.1版本,使用到REST外掛的Struts2應用,會被攻擊者實現遠端程式碼執行攻擊,

S2-057遠端程式碼執行漏洞檢測利用

Apache wiki更新了一個Struts2的遠端程式碼執行漏洞(S2-057),漏洞威脅等級為高危,漏洞對應的CVE編號為CVE-2018-11776。 定義XML配置時如果沒有設定namespace的值,並且上層動作配置中並沒有設定或使用萬用字元namespace時,可能會

S2-053 遠端程式碼執行漏洞檢測利用

Struts2在使用Freemarker模板引擎的時候,同時允許解析OGNL表示式。導致使用者輸入的資料本身不會被OGNL解析,但由於被Freemarker解析一次後變成離開一個表示式,被OGNL解析第二次,導致任意命令執行漏洞。 漏洞記錄 漏洞編號:S2-053(

S2-005 遠端程式碼執行漏洞檢測利用

s2-005漏洞的起源源於S2-003(受影響版本: 低於Struts 2.0.12),struts2會將http的每個引數名解析為OGNL語句執行(可理解為java程式碼)。OGNL表示式通過#來訪問struts的物件,struts框架通過過濾#字元防止安全問題,然而通過uni

S2-052 遠端程式碼執行漏洞檢查利用

2017年9月5日,Apache Struts釋出最新安全公告,Apache Struts2的REST外掛存在遠端程式碼執行的高危漏洞,該漏洞由lgtm.com的安全研究員彙報,漏洞編號為CVE-2017-9805(S2-052)。Struts2 REST外掛的XStream元件

S2-048 遠端程式碼執行漏洞檢測利用

2017年7月7日,ApacheStruts 釋出最新的安全公告,Apache Struts2的strus1外掛存在遠端程式碼執行的高危漏洞,漏洞編號為 CVE-2017-9791(S2-048)。攻擊者可以構造惡意的欄位值通過Struts2的struts2-struts1-pl

Memcached遠端程式碼執行漏洞預警檢測修復

一、漏洞基本資訊 CVE編號: CVE-2016-8704 - Memcached Append/Prepend 遠端程式碼執行漏洞 CVE-2016-8705 - Memcached Update

S2-045遠端程式碼執行漏洞

Apache Struts 2被曝存在遠端命令執行漏洞,漏洞編號S2-045,CVE編號CVE-2017-5638,在使用基於Jakarta外掛的檔案上傳功能時,有可能存在遠端命令執行,導致系統被黑客入侵。惡意使用者可在上傳檔案時通過修改HTTP請求頭中的Content-Type

S2-016 遠端程式碼執行漏洞

在struts2中,DefaultActionMapper類支援以"action:"、“redirect:”、"redirectAction:"作為導航或是重定向字首,但是這些字首後面同時可以跟OGNL表示式,由於struts2沒有對這些字首做過濾,導致利用OGNL表示式呼叫ja

S2-012 遠端程式碼執行漏洞

原理 如果在配置 Action 中 Result 時使用了重定向型別,並且還使用 ${param_name} 作為重定向變數,例如: <package name="S2-012" extends="struts-default"> <action nam

S2-001 遠端程式碼執行漏洞

該漏洞因為使用者提交表單資料並且驗證失敗時,後端會將使用者之前提交的引數值使用 OGNL 表示式 %{value} 進行解析,然後重新填充到對應的表單資料中。例如註冊或登入頁面,提交失敗後端一般會預設返回之前提交的資料,由於後端使用 %{value} 對提交的資料執行了一次 OG

Struts2 devMode遠端程式碼執行漏洞檢測利用

Apache Struts 2是世界上最流行的Java Web伺服器框架之一,當Struts2開啟devMode模式時,將導致嚴重遠端程式碼執行漏洞。如果WebService 啟動許可權為最高許可權時,可遠端執行任意命令,包括關機、建立新使用者、以及刪除伺服器上所有檔案等等。

關於Apache Struts2存在S2-045遠端程式碼執行漏洞

一、漏洞簡介   Apache Struts是美國阿帕奇(Apache)軟體基金會負責維護的一個開源專案,是一套用於建立企業級Java Web應用的開源MVC框架,主要提供兩個版本框架產品:Struts 1和Struts 2。 Apache Struts 2.3.5 -

懸鏡安全丨Java 反序列化任意程式碼執行漏洞分析利用

本文首發平臺:懸鏡官網,如需轉載,請聯絡小編,謝謝。        2015年的1月28號,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上給出了一個報告[3],報告中介紹了Java反序列化漏洞可以利用Apache Commons

【重大漏洞預警】Struts2 遠端程式碼執行漏洞 S2-045 原理初步分析

北京時間3月6日晚,Apache基金會發布安全公告稱,某旗下知名開源專案Apache Struts2 存在高危安全漏洞,允許攻擊者遠端執行程式碼,甚至獲取伺服器許可權。目前已有漏洞利用流出。 1.漏