首頁 > 運維 > 安全 > 主體

Struts2-057 兩個版本RCE漏洞實例分析

WBOY
發布: 2023-05-15 18:46:06
轉載
1550 人瀏覽過

前言

2018年8月22日,Apache Strust2發布最新安全公告,Apache Struts2存在遠端程式碼執行的高風險漏洞(S2-057/CVE-2018-11776),該漏洞由Semmle Security Research team的安全研究員Man YueMo發現。

該漏洞是由於在Struts2開發框架中使用namespace功能定義XML配置時,namespace值未被設定且在上層動作配置(Action Configuration)中未設定或用通配符namespace,可能導致遠端程式碼執行。同理,url標籤未設定value和action值且上層動作未設定或用通配符namespace時也可能導致遠端程式碼執行,經過筆者自建環境成功復現漏洞且可以執行指令回顯,文末有你們想要的!

漏洞利用

筆者搭的環境分別是Strust2 2.3.20版本和Strust2 2.3.34版本,漏洞利用大致分為三種方式:數值計算、彈出計算器、命令回顯。

2.1 數值計算

數值計算相對最簡單,在URL上指定%{100 200} 就可以發生跳轉,得到計算的結果


Struts2-057 两个版本RCE漏洞实例分析

#2.2 彈出計算器

2.3.20版本的POC如下:

Struts2-057 两个版本RCE漏洞实例分析Struts2-057 两个版本RCE漏洞实例分析

2.3.3 4版本參考的POC如下:


Struts2-057 两个版本RCE漏洞实例分析Struts2-057 两个版本RCE漏洞实例分析

2.3 指令回顯

兩個版本都是利用com.opensymphony.xwork2. dispatcher.HttpServletResponse物件去列印指令執行後的回顯資料

#2.3.20版本的POC如下:

Struts2-057 两个版本RCE漏洞实例分析2.3.34版本的POC如下:

Struts2-057 两个版本RCE漏洞实例分析攻擊後效果如下圖

Struts2-057 两个版本RCE漏洞实例分析

漏洞分析

在分析漏洞之前,需要設定struts.xml文件,這個文件就是struts2的核心設定文件,大多數的時候增減配置都需要操控這裡;

Struts2-057 两个版本RCE漏洞实例分析

總共兩處要注意,第一個一定要配置struts.mapper .alwaysSelectFullNamespace  = true ,否則不能觸發漏洞,這個配置的目的是設定是否一直在最後一個斜線之前的任何位置選定NameSpace;第二處result標籤返回的類型選擇“ redirectAction 或chain“ , 只有這兩個配置選項的值是可以將action轉送或重定向;關於type具體可以參考下圖

Struts2-057 两个版本RCE漏洞实例分析

#說完了配置,開始動態分析。漏洞位於

struts2-core.jar!/org/apache/struts2/dispatcher/ServletActionRedirectResult.class

Struts2-057 两个版本RCE漏洞实例分析this.namespace這個成員的值來自於getNamespace()方法,再透過getUriFromActionMapping()傳回URI字串;

Struts2-057 两个版本RCE漏洞实例分析透過getUriFromActionMapping取得的值賦給了tmpLocation變量,接著表達式進入setLocation方法

Struts2-057 两个版本RCE漏洞实例分析


Struts2-057 两个版本RCE漏洞实例分析

Struts2-057 两个版本RCE漏洞实例分析

##################################### ######再透過super.execute方法呼叫了ServletActionResult ,而在execute方法體內跟進了conditionalParse方法,在這個方法內呼叫了ONGL執行的關鍵方法translateVariables。 ############所得的param值傳入到translateVariables()方法內,最終在OnglTextPaser裡導致了OGNL表達式執行。 ##################

Struts2-057 两个版本RCE漏洞实例分析再彈出計算器後獲得lastFinalLocation的值為當前執行後的句柄,這個值作為響應跳轉的action地址,也就是在瀏覽器中彈出計算器後在地址列中出現的URI

Struts2-057 两个版本RCE漏洞实例分析到這裡彈出計算器的分析到此為止,接下來看下基於指令執行回顯結果的分析,基本上流程和上述一樣,唯一不同之處lastFinalLocation傳回的值是NULL,這也引發出提交後沒有做302的跳轉,依舊是當前的action,並且回傳的值是200

Struts2-057 两个版本RCE漏洞实例分析Struts2-057 两个版本RCE漏洞实例分析知道原理後小同事用python實現了exp檢測腳本,此腳本用途僅供學習研究; 

Struts2-057 两个版本RCE漏洞实例分析

防禦措施

1.   將框架版本升級到官方最新版本;

2.   對於Web應用來說,盡量確保程式碼的安全性;

3.   對於IDS規則層面來說,數值計算與彈計算器回傳的狀態碼都是302,且Location跳躍欄位含有特徵句柄字串;如果是指令回顯傳回的200狀態碼,且有指令結果輸出;

以上是Struts2-057 兩個版本RCE漏洞實例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:yisu.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!