Struts2-057 zwei Versionen der RCE-Schwachstellenbeispielanalyse

WBOY
Freigeben: 2023-05-15 18:46:06
nach vorne
1570 Leute haben es durchsucht

Vorwort

Am 22. August 2018 veröffentlichte Apache Struts2 eine Sicherheitslücke mit hohem Risiko für die Remotecodeausführung (S2-057/CVE-2018-11776). Die Sicherheitslücke wurde von einem Sicherheitsforscher entdeckt vom Semmle Security Research-Team. Entdeckt von Man YueMo.

Diese Sicherheitslücke ist auf die Tatsache zurückzuführen, dass bei Verwendung der Namespace-Funktion zum Definieren der XML-Konfiguration im Struts2-Entwicklungsframework der Namespace-Wert nicht festgelegt ist und weder in der Aktionskonfiguration der oberen Ebene (Aktionskonfiguration) noch in einem Platzhalter festgelegt ist Es wird ein Namespace verwendet, der zur Remote-Codeausführung führen kann. Wenn im URL-Tag keine Wert- und Aktionswerte festgelegt sind und die übergeordnete Aktion nicht festgelegt ist oder ein Platzhalter-Namespace verwendet wird, kann dies auch dazu führen, dass der Autor den Code aus der Ferne ausführt. Die erstellte Umgebung wurde erfolgreich reproduziert und der Befehl echo kann ausgeführt werden.

Vulnerability Exploitation

Die vom Autor verwendeten Umgebungen sind Strust2 Version 2.3.20 und Strust2 2.3.34 Es gibt ungefähr drei Möglichkeiten, die Sicherheitslücke auszunutzen: numerische Berechnung, Popup-Rechner und Befehlsecho.

2.1 Numerische Berechnung

Die numerische Berechnung ist relativ einfach. Geben Sie %{100+200} auf der URL an, um zu springen und das berechnete Ergebnis zu erhalten.


Struts2-057 两个版本RCE漏洞实例分析

2.2 Popup-Rechner wie folgt:

Struts2-057 两个版本RCE漏洞实例分析Struts2-057 两个版本RCE漏洞实例分析2.3.3 Der Referenz-POC für Version 4 lautet wie folgt:



Struts2-057 两个版本RCE漏洞实例分析Struts2-057 两个版本RCE漏洞实例分析2.3 Befehlsecho

Beide Versionen verwenden die.com.opensymphony.xwork2.dispatcher.HttpServletRespons e Objekt. Die Echodaten nach der Ausführung des Druckbefehls

Der POC von Version 2.3.20 ist wie folgt:

Der POC von Version 2.3.34 ist wie folgt:

Struts2-057 两个版本RCE漏洞实例分析

Der Effekt nach dem Angriff ist wie unten dargestellt

Struts2-057 两个版本RCE漏洞实例分析

Struts2-057 两个版本RCE漏洞实例分析Schwachstellenanalyse

In Analyse Bevor die Schwachstelle auftritt, müssen Sie die Datei struts.xml konfigurieren. Meistens müssen Sie die Erhöhung oder Verringerung steuern der Konfiguration;

Struts2-057 两个版本RCE漏洞实例分析Das erste muss mit struts.alwaysSelectFullNamespace = true konfiguriert werden. Der Zweck dieser Konfiguration besteht darin, festzulegen, ob NameSpace vorhanden ist Wird immer an einer beliebigen Stelle vor dem letzten Schrägstrich ausgewählt. Der vom zweiten Ergebnis-Tag zurückgegebene Typ wählt nur „redirectAction“ oder „chain“ aus. Einzelheiten zum Typ finden Sie in den Werten der beiden Konfigurationsoptionen unten


Struts2-057 两个版本RCE漏洞实例分析
Starten Sie nach Abschluss der Konfiguration die dynamische Analyse. Die Sicherheitslücke befindet sich in

struts2-core.jar!/org/apache/struts2/dispatcher/ServletActionRedirectResult.class

Der Wert des this.namespace-Mitglieds stammt von der getNamespace()-Methode und gibt dann die URI-Zeichenfolge zurück getUriFromActionMapping (); folgt im Körper der Ausführungsmethode. In dieser Methode wird die Schlüsselmethode der ONGL-Ausführung, TranslateVariables, aufgerufen.

Struts2-057 两个版本RCE漏洞实例分析

Der erhaltene Parameterwert wird an die Methode TranslateVariables() übergeben, die letztendlich dazu führt, dass der OGNL-Ausdruck in OnglTextPaser ausgeführt wird.

Struts2-057 两个版本RCE漏洞实例分析

Struts2-057 两个版本RCE漏洞实例分析

Struts2-057 两个版本RCE漏洞实例分析Nach dem Öffnen des Rechners ist der erhaltene Wert von lastFinalLocation das Handle nach der aktuellen Ausführung. Dieser Wert wird als Aktionsadresse des Antwortsprungs verwendet. Dies ist der URI, der nach dem Öffnen des Rechners in der Adressleiste angezeigt wird Der Browser

Struts2-057 两个版本RCE漏洞实例分析 Die Analyse des Popup-Rechners hier endet hier. Schauen wir uns als Nächstes die Analyse basierend auf den Echo-Ergebnissen der Befehlsausführung an. Der einzige Unterschied besteht darin Der von lastFinalLocation zurückgegebene Wert ist NULL, was auch den Fehler auslöst, dass nach der Übermittlung keine Operationen ausgeführt wurden. Der 302-Sprung ist immer noch die aktuelle Aktion und der zurückgegebene Wert ist 200

Struts2-057 两个版本RCE漏洞实例分析Struts2-057 两个版本RCE漏洞实例分析Nachdem mein Kollege das Prinzip kannte, verwendete er Python Implementieren Sie das Exp-Erkennungsskript.

Struts2-057 两个版本RCE漏洞实例分析

Verteidigungsmaßnahmen

1. Versuchen Sie, die Framework-Version auf die neueste Version zu aktualisieren Sicherheit des Codes;

3. Verwenden Sie für die IDS-Regelebene numerische Berechnungen und Aufzählungsrechner. Die zurückgegebenen Statuscodes sind alle 302, und das Feld „Standortsprung“ enthält die charakteristische Handle-Zeichenfolge, den zurückgegebenen Statuscode ist 200 und das Befehlsergebnis wird ausgegeben

Das obige ist der detaillierte Inhalt vonStruts2-057 zwei Versionen der RCE-Schwachstellenbeispielanalyse. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage
Über uns Haftungsausschluss Sitemap
Chinesische PHP-Website:Online-PHP-Schulung für das Gemeinwohl,Helfen Sie PHP-Lernenden, sich schnell weiterzuentwickeln!