某系統(tǒng)由于struct2漏洞導(dǎo)致被完全攻陷

一.  收獲

本文技術(shù)性不是很強(qiáng)，幾乎都是利用工具來(lái)完成，但是如果沒(méi)有靈活地使用工具，也未必能成功，首先是，通過(guò)上傳發(fā)現(xiàn)，上傳文件成功卻訪問(wèn)不了，初步可以判斷我們沒(méi)有訪問(wèn)權(quán)限，此時(shí)，要么可以暴力破解web系統(tǒng)賬號(hào)進(jìn)行訪問(wèn)，然后再連接***，要么就是找一個(gè)權(quán)限設(shè)置不是很高的目錄進(jìn)行上傳，因此就需要對(duì)一些常用的web部署框架的網(wǎng)站目錄結(jié)構(gòu)有一定的了解。

另外就是有的網(wǎng)站可能有***有一點(diǎn)檢測(cè)機(jī)制，如果上傳文件txt文件能訪問(wèn)，腳本文件顯示頁(yè)面不存在，那么可以試試上傳一些免殺的***試試。

tip1：快速判斷網(wǎng)站是windows系統(tǒng)還是linux系統(tǒng)，通過(guò)對(duì)各自對(duì)大小寫(xiě)字母的敏感性不同進(jìn)行判斷。如：http://www.10086.cn/gz/index_851_851.html   將index_851_851.html  改為inDex_851_851.html進(jìn)行訪問(wèn)，發(fā)現(xiàn)更改后不能正常訪問(wèn)，初步就可以判斷該系統(tǒng)是linux系統(tǒng)，不排除故意干擾性！

二.  ***路徑

2.1  漏洞產(chǎn)生的原因

Apache Struts2的“Dynamic MethodInvocation”機(jī)制是默認(rèn)開(kāi)啟的，僅提醒用戶如果可能的情況下關(guān)閉此機(jī)制，如果未關(guān)閉此機(jī)制將導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程***者可利用此漏洞在受影響應(yīng)用上下文中執(zhí)行任意代碼。

Apache Struts2在實(shí)現(xiàn)過(guò)程中使用了OGNL表達(dá)式，并將用戶通過(guò)URL提交的內(nèi)容拼接入OGNL表達(dá)式中，當(dāng)debug模式開(kāi)啟時(shí)，***者可以通過(guò)構(gòu)造惡意URL來(lái)執(zhí)行任意Java代碼，進(jìn)而可執(zhí)行任意命令。

Apache Struts 2.3.1.1之前版本中的DebuggingInterceptor組件中存在漏洞。當(dāng)使用開(kāi)發(fā)模式時(shí)，遠(yuǎn)程***者可利用該漏洞借助未明向量執(zhí)行任意命令。

Apache Struts2的action:、redirect:和redirectAction:前綴參數(shù)在實(shí)現(xiàn)其功能的過(guò)程中使用了OGNL表達(dá)式，并將用戶通過(guò)URL提交的內(nèi)容拼接入OGNL表達(dá)式中，從而造成***者可以通過(guò)構(gòu)造惡意URL來(lái)執(zhí)行任意Java代碼，進(jìn)而可執(zhí)行任意命令。redirect:和redirectAction:此兩項(xiàng)前綴為Struts默認(rèn)開(kāi)啟功能，目前Struts 2.3.15.1以下版本均存在此漏洞。

2.2  漏洞發(fā)現(xiàn)

通過(guò)使用struct2漏洞檢測(cè)工具，發(fā)現(xiàn)目標(biāo)網(wǎng)站存在s2-016，s2-019 struct2漏洞，如圖：

圖 2.1  struct2漏洞

2.3  漏洞利用

通過(guò)對(duì)發(fā)現(xiàn)的struct漏洞使用相關(guān)利用工具進(jìn)行利用，一步步開(kāi)始***該系統(tǒng)！

2.4  獲取目標(biāo)信息

***該系統(tǒng)之前，首先需要獲取到系統(tǒng)的相關(guān)信息，獲取到的目標(biāo)信息如圖：

圖 2.2  系統(tǒng)相關(guān)信息

兩個(gè)漏洞確實(shí)是真實(shí)存在的，并且獲取了當(dāng)前站點(diǎn)的真實(shí)物理路徑，另外用戶權(quán)限是最高級(jí)權(quán)限system權(quán)限，為下一步***計(jì)劃創(chuàng)建了一個(gè)良好的環(huán)境。

2.5  執(zhí)行系統(tǒng)命令

通過(guò)對(duì)這兩個(gè)漏洞進(jìn)行命令執(zhí)行，在前期收集到該系統(tǒng)是windows系統(tǒng)（一個(gè)簡(jiǎn)單的判斷就是根據(jù)windows和linux系統(tǒng)對(duì)大小寫(xiě)敏感程度不同），所以直接執(zhí)行windows命令，可知s2-016可以執(zhí)行系統(tǒng)命令，s2-019執(zhí)行命令出錯(cuò)，如圖：

圖 2.3  執(zhí)行系統(tǒng)命令

從執(zhí)行結(jié)果可以看出，該網(wǎng)站是從內(nèi)網(wǎng)通過(guò)端口映射到外網(wǎng)的，并且獲取到內(nèi)網(wǎng)ip地址。查看系統(tǒng)用戶，發(fā)現(xiàn)3個(gè)賬號(hào)，由此可見(jiàn)權(quán)限是很高的！

圖 2.4  系統(tǒng)賬戶

添加用戶eth20，添加賬戶成功，如圖：

圖 2.5  添加eth20賬戶

由于只是***測(cè)試，因此不進(jìn)行下一步操作，下一步就是將添加的用戶添加至管理組，然后開(kāi)遠(yuǎn)程桌面，從上可以看出，當(dāng)前權(quán)限是最高權(quán)限，因此下一步是完全可行的，一旦遠(yuǎn)程桌面連接成功，那么就可以使用相關(guān)工具獲取到系統(tǒng)賬號(hào)密碼，然后刪除之前添加的賬號(hào)，這樣會(huì)大大減小被發(fā)現(xiàn)的風(fēng)險(xiǎn)，以便長(zhǎng)時(shí)間進(jìn)行控制該服務(wù)器。（備注，添加的賬號(hào)已刪除）。

2.6  文件上傳

由于本次檢測(cè)出了s2-016，s2-019漏洞，但是只有s2-016可以執(zhí)行系統(tǒng)命令，如果沒(méi)有s2-016，那么我們接下來(lái)就是進(jìn)行文件上傳，上傳***，從而進(jìn)行控制服務(wù)器。

先在當(dāng)前目錄上傳一個(gè)測(cè)試文件，發(fā)現(xiàn)雖然顯示上傳ok，但是卻訪問(wèn)不了，初步排斷是做了限制，由此排斷當(dāng)前目錄沒(méi)有相關(guān)訪問(wèn)權(quán)限，通過(guò)對(duì)tomcat了解，發(fā)現(xiàn)webapp下還有一個(gè)ROOT目錄（相關(guān)于網(wǎng)站根目錄），于是上傳至該目錄，發(fā)現(xiàn)上傳成功，并能訪問(wèn)，如圖：

圖 2.6  上傳測(cè)試文件

圖 2.7  上傳測(cè)試文件成功

接著上傳***文件，并使用菜刀連接，成功，如圖：

圖 2.8  菜刀成功連接

菜刀連接成功以后，由于是system權(quán)限，因此可任意下載系統(tǒng)中文件，并且可以上傳惡意文件及工具，從而一步步攻陷該服務(wù)器！

通過(guò)查看文件發(fā)現(xiàn)，之前上傳的文件上傳成功了，只是訪問(wèn)不了。

另外通過(guò)上傳文件，并配合虛擬終端，則可一步步完全控制該服務(wù)器，如圖：

圖 2.9  菜刀虛擬終端

至此，已到達(dá)想要的***效果，于是本次對(duì)該漏洞的利用情況到此結(jié)束！

2.7  修復(fù)建議

目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)到廠商的主頁(yè)下載。

漏洞： s2-016，s2-019！

三.  總結(jié)與建議

3.1  現(xiàn)狀總結(jié)

綜上可知，該站點(diǎn)目前是是否危險(xiǎn)的，應(yīng)盡快修復(fù)該漏洞！

3.2  安全建議

對(duì)于發(fā)現(xiàn)的漏洞應(yīng)及時(shí)整改，打相應(yīng)補(bǔ)丁進(jìn)行解決！