Apache Struts2(S2-046)漏洞利用

Apache Struts2(S2-046)漏洞利用
标签: 漏洞s2-046struts基础架构网络安全
2017-03-21 20:07 383人阅读 评论(0) 收藏 举报
分类: 工具使用笔记(178) 代码审计(29)
版权声明:本文为博主原创文章,未经博主允许不得转载。
目录(?)[+]
0x00 前言
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。
0x01 漏洞原理
1、基于Jakarta Multipart解析器执行文件上传时存在远程代码执行漏洞
2、恶意攻击者精心构造Content-Type的值
3、通过版本比对定位漏洞原因
①Content-Length 的长度值超长
②Content-Disposition的filename存在空字节
Content-Length 的长度值超长
这个漏洞需要在strust.xml中加入 才能触发。
触发漏洞的代码在 JakartaStreamMultiPartRequest类中,processUpload函数处理了content-length长度超长的异常,导致问题触发。
private void processUpload(HttpServletRequest request, String saveDir)
throws Exception {
// Sanity check that the request is a multi-part/form-data request.
if (ServletFileUpload.isMultipartContent(request)) {
// Sanity check on request size.
boolean requestSizePermitted = isRequestSizePermitted(request);
// Interface with Commons FileUpload API
// Using the Streaming API
ServletFileUpload servletFileUpload = new ServletFileUpload();
FileItemIterator i = servletFileUpload.getItemIterator(request);
// Iterate the file items
while (i.hasNext()) {
try {
FileItemStream itemStream = i.next();
// If the file item stream is a form field, delegate to the
// field item stream handler
if (itemStream.isFormField()) {
processFileItemStreamAsFormField(itemStream);
}
// Delegate the file item stream for a file field to the
// file item stream handler, but delegation is skipped
// if the requestSizePermitted check failed based on the
// complete content-size of the request.
else {
// prevent processing file field item if request size not allowed.
// also warn user in the logs.
if (!requestSizePermitted) {
addFileSkippedError(itemStream.getName(), request);
LOG.warn(“Skipped stream ‘#0’, request maximum size (#1) exceeded.”, itemStream.getName(), maxSize);
continue;
}
processFileItemStreamAsFileField(itemStream, saveDir);
}
} catch (IOException e) {
e.printStackTrace();
}
}
}
}
触发点在LOG.warn(“Skipped stream ‘#0’, request maximum size (#1) exceeded.”, itemStream.getName(), maxSize);
之后进入了函数addFileSkippedError,我们又见到了熟悉的buildErrorMessage,而这次带入的参数为fileName
private void addFileSkippedError(String fileName, HttpServletRequest request) {
String exceptionMessage = “Skipped file ” + fileName + “; request size limit exceeded.”;
FileSizeLimitExceededException exception = new FileUploadBase.FileSizeLimitExceededException(exceptionMessage, getRequestSize(request), maxSize);
String message = buildErrorMessage(exception, new Object[]{fileName, getRequestSize(request), maxSize});
if (!errors.contains(message))
errors.add(message);
}
Content-Disposition的filename存在空字节
第二种触发漏洞的方式,属于直接触发,在streams.class中,会对filename进行检查,如果检查出错,也会记录log。
public static String checkFileName(String fileName) {
if (fileName != null && fileName.indexOf(‘\u0000’) != -1) {
// pFileName.replace(“\u0000”, “\\0”)
final StringBuilder sb = new StringBuilder();
for (int i = 0; i < fileName.length(); i++) {
char c = fileName.charAt(i);
switch (c) {
case 0:
sb.append(“\\0”);
break;
default:
sb.append(c);
break;
}
}
throw new InvalidFileNameException(fileName,
“Invalid file name: ” + sb);
}
return fileName;
}
最终进入的是JakartaStreamMultiPartRequest类的,我们又见到了buildErrorMessage
public void parse(HttpServletRequest request, String saveDir)
throws IOException {
try {
setLocale(request);
processUpload(request, saveDir);
} catch (Exception e) {
e.printStackTrace();
String errorMessage = buildErrorMessage(e, new Object[]{});
if (!errors.contains(errorMessage))
errors.add(errorMessage);
}
}
0x02漏洞危害
通过Jakarta 文件上传插件,可执行具有恶意Content-Disposition 值或具有不正确Content-Length 报头的RCE攻击,直接获取应用系统所在服务器的控制权限,进而控制网站服务器
0x03 漏洞检测
1、在线检测:
https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12
http://matrix.cubesec.cn/src/views/scaning.html

https://www.seebug.org/monster/?vul_id=92804
2、本地检测
友情检测:exploit-cd.sh 链接:http://pan.baidu.com/s/1pLc1EsF 密码:oj7y
3、漏洞复现
https://github.com/pwntester/S2-046-PoC
0x04 修复建议
1、升级版本: 请升级至Struts2安全版本
Struts 2.3.32:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
Struts 2.5.10.1:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

 

S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31, Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影响范围较大
S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影响范围小
S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影响范围小
S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影响范围小
S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影响范围一般
S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大
S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范围内
S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范围内
S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内

欢迎大家分享更好的思路,热切期待^^_^^ !

Leave a Reply

Your email address will not be published. Required fields are marked *