近日,安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045),并定级为高危漏洞。
Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。cve-2017-5638漏洞
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。(来源:百度百科)
漏洞描述使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。cve-2017-5638漏洞
漏洞影响攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程代码执行。
修复建议
1。 严格过滤 Content-Type 里的内容,严禁ognl表达式相关字段。
2。 如果您使用基于Jakarta插件,请升级到Apache Struts 2。3。32或2。5。10。1版本。
验环境
操作机:Windows XP
目标机:Centos 6。5
Struts版本:2。3。31
实验目的:
了解S2-045 Struts2远程命令执行漏洞危害
掌握检测修复S2-045 Struts2远程命令执行漏洞技术
实验文件:
poc。exe:本次实验漏洞验证的POC源码
SecurityFilter。class:本次实验漏洞修复脚本
实验内容
Struts
Struts是Apache基金会的一个开源项目,Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品。
目前,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用,是应用最广泛的Web应用框架之一。
cve-2017-5638漏洞介绍
Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
影响范围
Struts 2。3。5 – Struts 2。3。31 Struts 2。5 – Struts 2。5。10
不受影响的版本
Struts 2。3。32 Struts 2。5。10。1
快速检测方式
使用知道创宇SeeBug照妖镜可以直接检测站点是否存在本漏洞
漏洞危害
在default。properties文件中,struts。multipart。parser的值有两个选择,分别是jakarta和pell。其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需要得到正视。
恶意访问者可通过远程命令注入执行,令系统执行恶意命令,导致被黑客入侵,从而威胁服务器安全,影响极大。
实验步骤
快速查找实验工具
打开桌面 Everything 搜索工具,输入实验工具名称,右击选择“打开路径”,跳转实验工具所在位置。
以查找Burp为例为大家演示。
Alt text
小i提示:
在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。
在实验环境中无法连接互联网,请使用您本地的网络环境。
在本次实验中所使用的ssh连接工具和文件传输工具不唯一,请根据自身情况选则工具。
cve-2017-5638漏洞复现:http://www.youerw.com/fanwen/lunwen_91892.html