溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Struts2漏洞和Struts Scan工具實戰(zhàn)

發(fā)布時間:2020-05-13 10:06:18 來源:網(wǎng)絡(luò) 閱讀:21576 作者:Mike_Rock_Cloud 欄目:安全技術(shù)

一、Apache Struts 2漏洞背景

1.漏洞詳情

2017年3月6日,Apache Struts 2被曝存在遠(yuǎn)程命令執(zhí)行漏洞。在使用基于Jakarta插件的文件上傳功能條件下,惡意用戶可以通過修改HTTP請求頭中的Content-Type值構(gòu)造惡意代碼,在服務(wù)器上執(zhí)行系統(tǒng)命令,完全控制該服務(wù)器,最后達(dá)到挖礦、對外攻/擊、數(shù)據(jù)竊取勒索、篡改為菠菜站等目的。漏洞利用所需組件默認(rèn)啟用,風(fēng)險等級為高危。

2.漏洞編號

  • CVE-2017-5638
  • CNNVD-201703-152

3.影響的Struts2版本

  • Struts 2.3.5 – Struts 2.3.31
  • Struts 2.5 – Struts 2.5.1

4.解決方案

(1)臨時解決方案:刪除commons-fileupload-x.x.x.jar文件(會造成上傳功能不可用)。

(2)根本解決方案:升級版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1 以消除漏洞影響。涉及版本變更,升級前應(yīng)做好數(shù)據(jù)備份。

補丁地址:
Struts 2.3.32: https://github.com/apache/struts/releases/tag/STRUTS_2_3_32
Struts 2.5.10.1: https://github.com/apache/struts/releases/tag/STRUTS_2_5_10_1

5.自行檢測方法

查看web目錄下/WEB-INF/lib/目錄下的struts2-core-x.x.x.jar文件,如果x代表的版本號在2.3.5到2.3.31 以及2.5到2.5.10之間且未修改默認(rèn)配置則存在漏洞。

二、Struts Scan工具介紹

使用場景:在主機外圍驗證漏洞存在與否。
使用前提:需要主機有python環(huán)境,如何安裝自行百度。

1.Struts Scan工具下載地址

(1)【推薦】Lucifer原創(chuàng)在GitHub: https://github.com/Lucifer1993/struts-scan

Struts2漏洞和Struts Scan工具實戰(zhàn)

(2)在百度網(wǎng)盤備份了一份:https://pan.baidu.com/s/1ji8uTB73gXMFaTyW5r6Jbg 密碼:99f4

2.Struts Scan工具使用方法

(1)將下載的安裝包上傳到云主機任意目錄下,我上傳到/root/struts-scan/

Struts2漏洞和Struts Scan工具實戰(zhàn)

(2)使用方法:

? python struts-scan.py http://example.com/index.action 檢測
? python struts-scan.py -u http://example.com/index.action -i struts2-045 進(jìn)入指定漏洞交互式shell
? python struts-scan.py -f url.txt 批量檢測

示例:python struts-scan.py http://www.baidu.com
Struts2漏洞和Struts Scan工具實戰(zhàn)

注意:如果python報錯:

Traceback (most recent call last):
 File "struts-scan.py", line 13, in <module>
    from termcolor import cprint
ImportError: No module named termcolor

根據(jù)報錯,執(zhí)行如下命令后解決:

   yum install python-pip
   pip install termcolor

三、入/侵分析案例

1.2017-12-25 某一云租戶的CPU持續(xù)較高,經(jīng)過排查是一個名為md的惡意進(jìn)程,位置/var/tmp/.c4k/,且在crontab里加了定時任務(wù)。

Struts2漏洞和Struts Scan工具實戰(zhàn)

Struts2漏洞和Struts Scan工具實戰(zhàn)

2.微步在線堅定為比特幣挖礦木/馬:

Struts2漏洞和Struts Scan工具實戰(zhàn)

3.網(wǎng)站目錄下/WEB-INF/lib/目錄下,發(fā)現(xiàn)了存在漏洞struts2庫2.3.15。

Struts2漏洞和Struts Scan工具實戰(zhàn)

利用struts scan判斷存在struts2-045、struts2-048漏洞

Struts2漏洞和Struts Scan工具實戰(zhàn)

4.本文列出的為關(guān)鍵步驟,其實分析過程中我們還分析了弱口令爆破、/var/log/secure日志、配置文件server.xml等,常規(guī)分析參考我的Linux入/侵分析三部曲。

終于最后聚焦到struts2漏洞,從此此漏洞可以作為網(wǎng)站類主機入/侵溯源分析的一個檢查點,列入TSG(Troubleshooting Guide),提高效率。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI