2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。
该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行。同理,url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行,经过笔者自建环境成功复现漏洞且可以执行命令回显,文末有你们想要的 !
笔者搭的环境分别是Strust2 2.3.20版本和 Strust2 2.3.34版本,漏洞利用大致分为三种方式:数值计算、弹出计算器、 命令回显。
数值计算相对最简单,在URL上指定 %{100+200} 就可以发生跳转,得到计算的结果
2.3.20版本的POC如下:
两个版本都是利用com.opensymphony.xwork2.dispatcher.HttpServletResponse对象去打印命令执行后的回显数据
2.3.20版本的POC如下:
2.3.34版本的POC如下:
攻击后效果如下图
在分析漏洞之前,需要配置struts.xml文件,这个文件就是struts2的核心配置文件,大多数的时候增减配置都需要操控这里;
总共两处需要注意,之一处一定要配置struts.mapper.alwaysSelectFullNamespace =true ,否则不能触发漏洞,这个配置的目的是设定是否一直在最后一个斜线之前的任何位置选定NameSpace;第二处result标签返回的类型选择 “ redirectAction 或 chain“ , 只有这两个配置选项的值是可以将action转发或者重定向;关于type具体可以参考下图
说完了配置,开始动态分析。漏洞位于
struts2-core.jar!/org/apache/struts2/dispatcher/ServletActionRedirectResult.class
this.namespace这个成员的值来自于getNamespace() *** ,再通过getUriFromActionMapping()返回URI字符串;
通过getUriFromActionMapping获取的值赋给了tmpLocation变量,接着表达式进入setLocation ***
再通过super.execute *** 调用了ServletActionResult ,而在execute *** 体内跟进了conditionalParse *** ,在这个 *** 内调用了ONGL执行的关键 *** translateVariables。
获得的param值传入到translateVariables() *** 内,最终在OnglTextPaser里导致了OGNL表达式执行。
再弹出计算器后获得lastFinalLocation的值为当前执行后的句柄,这个值作为响应跳转的action地址,也就是在浏览器中弹出计算器后在地址栏中出现的URI
到这里弹出计算器的分析到此为止,接下来看下基于命令执行回显结果的分析,基本上流程和上述一样,唯一不同之处lastFinalLocation返回的值是NULL,这也就引发出提交后没有做302的跳转,依旧是当前的action,并且返回的值是200
知道了原理后小同事用python实现了exp检测脚本,此脚本用途仅供学习研究;
1. 将框架版本升级到官方最新版本;
2. 对于Web应用来说,尽量保证代码的安全性;
3. 对于IDS规则层面来说,数值计算和弹计算器返回的状态码都是302,并且Location跳转字段含有特征句柄字符串;如果是命令回显返回的200状态码,且有命令结果输出;
文章中提及的python EXP下载地址: https://github.com/Ivan1ee ;
https://cwiki.apache.org/confluence/display/WW/S2-057
https://lgtm.com/blog/apache_struts_CVE-2018-11776
https://blog.csdn.net/madison__/article/details/55671426
*本文作者:360云影实验室,转自 FreeBuf
0基础成为黑客需要学什么 1、成为黑客的基础入门需要学习计算机编程、网络技术、操作系统、加密技术等相关知识。同时,需要具备好奇心、探索精神和解决问题的能力。想成为黑客,需要首先熟练掌握一种或多种编程语...
钱包作为男性比较私人的物件,同时也是一个代表品味以及格调的物品。 那么,钱包到底应该买那些品牌呢?这次,BEAT WILL君就整理了9个不同价位最值得买的男士钱包品牌,提升格调很适合! 价位:性价...
混迹 B 站的小伙伴最近可能经常看到“罗翔”这个人,那么他究竟是何许人也?又凭什么能在短短五天内涨粉173万,成功破圈?是他真有如此大的人格魅力,还是讲学质量格外优质?还是平台与其他因素的助力?以上种...
自己创业和工作最重要的差别,便是是否有应用杆杠。而了解杆杠杀伤力的人,较难接纳丧失杆杠。就好似《富豪谷底求翻身》中主人公讲到: “每多一分钟在谋生,就相当于少一分钟在运营工作” 。 1.界定自己创...
黑客教你定位微信地址黑客位置微信位置教程分手后想要救你的前男友,一个重要的步骤就是吸引他男朋友的注意;黑客教你定位微信地址1.首先,玩怀旧牌你们可以适当地约会,也可以有意或无意地在你的前一次追悼会上或...
本文导读目录: 1、微信盗号一般都用来干嘛呀… 2、微信被盗还被注销,盗号的主要目的是干什么? 3、如果微信号被盗了,盗号的人把微信好友都删掉或者拉黑,那他盗号的目的是什么呢? 4、犯罪分...