溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

發(fā)布時(shí)間:2021-12-22 21:02:59 來源:億速云 閱讀:168 作者:柒染 欄目:網(wǎng)絡(luò)管理

本篇文章給大家分享的是有關(guān)怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析,小編覺得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

一、漏洞背景

Apache軟件基金會(huì)在Apache Struts中宣布了一個(gè)最新的遠(yuǎn)程代碼執(zhí)行漏洞,Apache Struts是一個(gè)現(xiàn)在較為主流的開源框架,是用于使用Java編程語言開發(fā)Web應(yīng)用程序。目前使用Apache Struts部分版本開發(fā)的應(yīng)用程序可能存在漏洞。該漏洞對(duì)應(yīng)的CVE編號(hào)為CVE-2018-11776。

二、漏洞概要

誰應(yīng)該讀這個(gè)  所有Struts 2的開發(fā)者和用戶  
漏洞的影響  可能的遠(yuǎn)程代碼執(zhí)行使用沒有namespace和同時(shí)的結(jié)果時(shí),其上面的操作沒有或沒有通配符namespace。使用url沒有value和action設(shè)置的標(biāo)簽時(shí)的可能性相同。  
最高安全等級(jí)  危急  
建議  升級(jí)到Struts 2.3.35或Struts 2.5.17  
受影響的軟件  Struts  2.3 - Struts 2.3.34,Struts 2.5 - Struts 2.5.16  不受支持的Struts版本也可能受到影響  
記者  來自Semmle安全研究團(tuán)隊(duì)的Man Yue Mo.  
CVE標(biāo)識(shí)符  CVE-2018-11776  

三、搭建環(huán)境

修改struts核心配置文件struts-actionchaining.xml,沒有為namespace賦值,并且配置了重定向action。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

   在ActionChain1中,添加execute的調(diào)試方法進(jìn)行驗(yàn)證。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

http://localhost:8080/struts2-showcase/${(333+333)}/actionChain1.action,OGNL表達(dá)式順利的被執(zhí)行

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

執(zhí)行到execute方法。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

已跳轉(zhuǎn)到指定的action頁面register2。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

輸入特定的payload,觸發(fā)漏洞,彈出計(jì)算器。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

四、觸發(fā)條件

1.使用Struts 2.3 - Struts 2.3.34,Struts 2.5 - Struts 2.5.16范圍內(nèi)的Apache Struts版本。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

2.在struts核心配置XML上層action中“namespace”值為缺省值時(shí),或“namespace”通配符為(“/*”)時(shí)可能會(huì)導(dǎo)致web應(yīng)用遠(yuǎn)程代碼執(zhí)行漏洞。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

3.在struts配置“struts.mapper.alwaysSelectFullNamespace = true”,配置此屬性的目的是,是否在最后一個(gè)斜線之前的任何位置選定”NameSpace”。   

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

4.在struts核心配置XML文件中配置result標(biāo)簽返回的類型選擇 “type= redirectAction” , 這個(gè)類型是為了將用戶重定向到一個(gè)已定義的好的action。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

五、漏洞分析

“DefaultActionMapper”調(diào)用”parseNameAndNamespace()”用來解析“namenamespace”和”name”。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

當(dāng)alwaysSelectFullNamespace 的value值為true時(shí),namespace的值可通過uri控制。

怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

執(zhí)行完action后,ServletActionRedirectResult調(diào)用execute()進(jìn)行重定向Result,通過ActionMapper.getUriFromActionMapping()對(duì)namespace和name進(jìn)行重新定義,然后用setLocation()將帶namespace的location放入父類StrutsResultSupport中。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

父類StrutsResultSupport拿到location后,通過TextParseUtil.translateVariables()調(diào)用OgnlTextParser的evaluate方法,此方法就是最終解釋Ognl表達(dá)式的語句,所以最終導(dǎo)致解析執(zhí)行url中的OGNL表達(dá)式。

 怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析

六、修復(fù)建議

建議將Apache Struts升級(jí)到最新版本2.3.35或是Apache Struts最新版本2.5.17,直接升級(jí)即可官方已經(jīng)做好漏洞補(bǔ)丁,預(yù)計(jì)不會(huì)出現(xiàn)向后不兼容的問題。

以上就是怎么進(jìn)行Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-11776的分析,小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘9ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI