Struts2 S2-052 RCE分析与利用

博主： Admin
发布时间：2017 年 09 月 06 日
2328 次浏览
暂无评论
1453字数
分类：安全通告

漏洞描述

2017年9月5日，Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，该漏洞由lgtm.com的安全研究员汇报，漏洞编号为CVE-2017-9805（S2-052）。Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。

相关链接如下：

https://cwiki.apache.org/confluence/display/WW/S2-052

https://lgtm.com/blog/apache_struts_CVE-2017-9805

补丁分析

在Struts2官方github上下载最新代码，发现org.apache.struts2.rest.handler这个包下多了几个类文件，分别为AbstractContentTypeHandler、AllowedClasses、AllowedClassNames、XStreamPermissionProvider。如下图所示：

XStreamHandler类修改了createXStream方法，同时增加了几个方法，作用是拒绝不安全的类执行。如下图所示：

由补丁可以发现，REST插件将XStream处理的数据进行了处理，在调用“xstream.fromXML(in,target);” 反序列化之前对其进行了检查。

漏洞分析

根据补丁分析，构造相对应的漏洞检测数据包。使用调试工具分析，发现Action经过REST插件处理时会被ContentTypeInterceptor这个类拦截，进入intercept方法如下图所示：

这个Intercept拦截方法很重要，分三步：

第一步：getHandlerForRequest方法会判断提交的请求类型，如果是XML的话就交给XStreamHandler调用toObject方法。

第二步：如果浏览器提交的数据包长度大于0的话就获取其输入流，然后将数据包生成一个InputStreamReader对象也就是reader。

第三步：调用XStreamHandler的toObject方法将reader数据流进行xml反序列化。

如下图所示：

结合之前对补丁的分析，这里XStream并没有对reader的内容进行验证，导致反序列化漏洞。

漏洞复现

Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，可直接在数据包中插入恶意代码，导致服务器被攻陷。漏洞复现如下图所示：

可以看到服务器回显错误，但是已经成功执行了系统命令。证明漏洞存在，并且通过远程即可实现攻击。

受影响版本

Apache Struts Version：Struts 2.5 - Struts 2.5.12

规避方案

升级Struts到2.5.13最新版本
在不使用时删除StrutsREST插件，或仅限于服务器普通页面和JSONs
<constantname="struts.action.extension" value="xhtml,,json" />
部署启明星辰web应用防火墙http://www.venustech.com.cn/SafeProductInfo/413/39.Html

本文转自启明星辰adlab公众号

最后修改：1970 年 01 月 01 日

© 允许规范转载

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Struts2 S2-052 RCE分析与利用

Admin • 2017 年 09 月 06 日

<p><strong>漏洞描述</strong></p><p>2017年9月5日，Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，该漏洞由lgtm.com的安全研究员汇报，漏洞编号为CVE-2017-9805（S2-052）。Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。</p><p>相关链接如下：</p><p><span class="external-link"><a class="no-external-link" href="https://cwiki.apache.org/confluence/display/WW/S2-052" target="_blank"><i data-feather="external-link"></i>https://cwiki.apache.org/confluence/display/WW/S2-052</a></span></p><p><span class="external-link"><a class="no-external-link" href="https://lgtm.com/blog/apache_struts_CVE-2017-9805" target="_blank"><i data-feather="external-link"></i>https://lgtm.com/blog/apache_struts_CVE-2017-9805</a></span></p><p><strong>补丁分析</strong></p><p>在Struts2官方github上下载最新代码，发现org.apache.struts2.rest.handler这个包下多了几个类文件，分别为AbstractContentTypeHandler、AllowedClasses、AllowedClassNames、XStreamPermissionProvider。如下图所示：</p><p><img src="https://www.shungg.cn/content/uploadfile/201709/4efd1504655289.jpg" data-image-size="440,336"></p><p>XStreamHandler类修改了createXStream方法，同时增加了几个方法，作用是拒绝不安全的类执行。如下图所示：<br /></p><p><img src="https://www.shungg.cn/content/uploadfile/201709/3fb51504655334.jpg" data-image-size="554,463"></p><p>由补丁可以发现，REST插件将XStream处理的数据进行了处理，在调用“xstream.fromXML(in,target);” 反序列化之前对其进行了检查。</p><p><strong>漏洞分析</strong></p><p>&nbsp;根据补丁分析，构造相对应的漏洞检测数据包。使用调试工具分析，发现Action经过REST插件处理时会被ContentTypeInterceptor这个类拦截，进入intercept方法如下图所示：</p><p><img src="data:image/gif;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVQImWNgYGBgAAAABQABh6FO1AAAAABJRU5ErkJggg=="></p><p><img alt="Image" src="https://www.shungg.cn/content/uploadfile/201709/f9961504655380.jpg" data-image-size="554,263"><br /></p><p>这个Intercept拦截方法很重要，分三步：</p><p>第一步：getHandlerForRequest方法会判断提交的请求类型，如果是XML的话就交给XStreamHandler调用toObject方法。</p><p>第二步：如果浏览器提交的数据包长度大于0的话就获取其输入流，然后将数据包生成一个InputStreamReader对象也就是reader。</p><p>第三步：调用XStreamHandler的toObject方法将reader数据流进行xml反序列化。</p><p>如下图所示：</p><p><img src="https://www.shungg.cn/content/uploadfile/201709/2de41504655412.jpg" data-image-size="554,306"></p><p>结合之前对补丁的分析，这里XStream并没有对reader的内容进行验证，导致反序列化漏洞。<br /></p><p></p><p><br /></p><p><strong>漏洞复现</strong></p><p></p><p>Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，可直接在数据包中插入恶意代码，导致服务器被攻陷。漏洞复现如下图所示：</p><p><img src="https://www.shungg.cn/content/uploadfile/201709/13501504655450.jpg" data-image-size="1772,470"></p><p>可以看到服务器回显错误，但是已经成功执行了系统命令。证明漏洞存在，并且通过远程即可实现攻击。<br /></p><p></p><p></p><p><strong>受影响版本</strong></p><p></p><p>Apache Struts Version：Struts 2.5 - Struts 2.5.12</p><p></p><p><br /></p><p></p><p><strong>规避方案</strong></p><p></p><ul><li><p>升级Struts到2.5.13最新版本</p></li><li><p>在不使用时删除StrutsREST插件，或仅限于服务器普通页面和JSONs<br />&lt;constantname="struts.action.extension"&nbsp;value="xhtml,,json"&nbsp;/&gt;</p></li><li><p>部署启明星辰web应用防火墙<span class="external-link"><a class="no-external-link" href="http://www.venustech.com.cn/SafeProductInfo/413/39.Html" target="_blank"><i data-feather="external-link"></i>http://www.venustech.com.cn/SafeProductInfo/413/39.Html</a></span> &nbsp;</p></li></ul><p>本文转自启明星辰adlab公众号</p><p><img alt="Image" src="https://www.shungg.cn/content/uploadfile/201709/fac41504655501.jpg" data-image-size="277,316"><br /></p>