Struts2-057 两个版本RCE漏洞分析(含EXP)

访客5年前黑客工具402

  2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。

  该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行。同理,url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行,经过笔者自建环境成功复现漏洞且可以执行命令回显,文末有你们想要的 !

  笔者搭的环境分别是Strust2 2.3.20版本和 Strust2 2.3.34版本,漏洞利用大致分为三种方式:数值计算、弹出计算器、 命令回显。

  数值计算相对最简单,在URL上指定 %{100+200} 就可以发生跳转,得到计算的结果

  Struts2-057 两个版本RCE漏洞分析

  2.3.20版本的POC如下:

  Struts2-057 两个版本RCE漏洞分析

  Struts2-057 两个版本RCE漏洞分析

  Struts2-057 两个版本RCE漏洞分析Struts2-057 两个版本RCE漏洞分析

  两个版本都是利用com.opensymphony.xwork2.dispatcher.HttpServletResponse对象去打印命令执行后的回显数据

  2.3.20版本的POC如下:

  Struts2-057 两个版本RCE漏洞分析2.3.34版本的POC如下:

  Struts2-057 两个版本RCE漏洞分析攻击后效果如下图

  Struts2-057 两个版本RCE漏洞分析

  在分析漏洞之前,需要配置struts.xml文件,这个文件就是struts2的核心配置文件,大多数的时候增减配置都需要操控这里;

  Struts2-057 两个版本RCE漏洞分析总共两处需要注意,之一处一定要配置struts.mapper.alwaysSelectFullNamespace =true ,否则不能触发漏洞,这个配置的目的是设定是否一直在最后一个斜线之前的任何位置选定NameSpace;第二处result标签返回的类型选择 “ redirectAction 或 chain“ , 只有这两个配置选项的值是可以将action转发或者重定向;关于type具体可以参考下图

  image.png说完了配置,开始动态分析。漏洞位于

  struts2-core.jar!/org/apache/struts2/dispatcher/ServletActionRedirectResult.class

  Struts2-057 两个版本RCE漏洞分析this.namespace这个成员的值来自于getNamespace() *** ,再通过getUriFromActionMapping()返回URI字符串;

  Struts2-057 两个版本RCE漏洞分析通过getUriFromActionMapping获取的值赋给了tmpLocation变量,接着表达式进入setLocation ***

  Struts2-057 两个版本RCE漏洞分析再通过super.execute *** 调用了ServletActionResult ,而在execute *** 体内跟进了conditionalParse *** ,在这个 *** 内调用了ONGL执行的关键 *** translateVariables。

  Struts2-057 两个版本RCE漏洞分析

  获得的param值传入到translateVariables() *** 内,最终在OnglTextPaser里导致了OGNL表达式执行。

  Struts2-057 两个版本RCE漏洞分析Struts2-057 两个版本RCE漏洞分析再弹出计算器后获得lastFinalLocation的值为当前执行后的句柄,这个值作为响应跳转的action地址,也就是在浏览器中弹出计算器后在地址栏中出现的URI

  Struts2-057 两个版本RCE漏洞分析到这里弹出计算器的分析到此为止,接下来看下基于命令执行回显结果的分析,基本上流程和上述一样,唯一不同之处lastFinalLocation返回的值是NULL,这也就引发出提交后没有做302的跳转,依旧是当前的action,并且返回的值是200

  Struts2-057 两个版本RCE漏洞分析Struts2-057 两个版本RCE漏洞分析知道了原理后小同事用python实现了exp检测脚本,此脚本用途仅供学习研究;

  Struts2-057 两个版本RCE漏洞分析

  1. 将框架版本升级到官方最新版本;

  2. 对于Web应用来说,尽量保证代码的安全性;

  3. 对于IDS规则层面来说,数值计算和弹计算器返回的状态码都是302,并且Location跳转字段含有特征句柄字符串;如果是命令回显返回的200状态码,且有命令结果输出;

  文章中提及的python EXP下载地址: https://github.com/Ivan1ee ;

  https://cwiki.apache.org/confluence/display/WW/S2-057

  https://lgtm.com/blog/apache_struts_CVE-2018-11776

  https://blog.csdn.net/madison__/article/details/55671426

  *本文作者:360云影实验室,转自 FreeBuf

相关文章

pdca管理循环图片(PDCA管理循环)

  pdca代表什么意思?(PDCA循环系统管理方法综合分析)文中包含了PDCA循环系统的情况、内函、特性、四个环节、八个流程,PDCA在管理方法中的实际运用,及其在本人日程中的运用和案例回看,肯定是...

火把节是哪族的节日?传统节日火把节

火把节是哪族的节日?传统节日火把节

火把节是彝族、白族、纳西族、基诺族、拉祜族等民族的古老传统节日,有着深厚的民俗文化内涵,被称为“东方的狂欢节”。不同的民族举行火把节的时间也不同,大多是在农历的六月二十四,主要活动有斗牛、斗羊、斗鸡、...

下列选项中蚊子更喜欢叮咬哪类人 蚂蚁庄园2020年4月21日答案

下列选项中蚊子更喜欢叮咬哪类人 蚂蚁庄园2020年4月21日答案

下列选项中蚊子更喜欢叮咬哪类人?小编就给大家带来蚂蚁庄园4月21日蚂蚁庄园答案。 4月21日蚂蚁庄园答案题目:下列选项中蚊子更喜欢叮咬哪类人? 正确答案:运动后出汗的人 以上就是小编给大家带...

平台被黑客资金多了怎么办(平台被黑客攻击了怎么办)

一、平台被黑客资金多了怎么办(平台被黑客攻击了怎么办)方法总结 1、我的资金被平台黑了怎么办当遇到黑平台被黑了余额提不出来的情况下要理智,千万别和客服争执,只要账号能正常登录,就有办法提出来。赌博害...

大熊猫双胞胎顺顺溜溜病亡怎么回事 大熊猫双胞胎顺顺溜溜为什么病亡

大熊猫双胞胎顺顺溜溜病亡怎么回事 大熊猫双胞胎顺顺溜溜为什么病亡

四川成都,据@成都大熊猫繁育研究基地,大熊猫幼崽顺顺和溜溜已于5月先后病亡。顺顺和溜溜2019年10月出生,2020年4月26日,顺顺溜溜出现拒食、急性腹泻等症状,最终因多器官功能衰竭死亡。...

怎样找黑客帮忙请人?靠谱的黑客技术联系方式

近日,看着一个个网站都火了起来,因此也想策划一些网站。做网站不是为了自娱自乐,而是为了赢利。因此做什么样的网站才能在尽可能短的时间内产生效益则是考虑的一个重中之中的问题。    一、行业网站    在...