MyException - 我的异常网
当前位置:我的异常网» 互联网 » CVE-2017-9805:Struts2 REST插件远路执行命令漏洞(S

CVE-2017-9805:Struts2 REST插件远路执行命令漏洞(S2-052) 分析报告

www.MyException.Cn  网友分享于:2013-09-28  浏览:0次
CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告

摘要: 一. 漏洞概述 2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052),在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。

19

一. 漏洞概述

2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052),在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。

二. 漏洞基本信息

漏洞编号:
CVE-2017-9805 
漏洞名称:
Struts2 REST插件远程执行命令漏洞(S2-052) 
官方评级: **
严重 
**漏洞描述:

当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。 
漏洞利用条件和方式:
利用条件:使用REST插件并在受影响版本范围内。
利用方式:攻击者构建恶意数据包远程利用。 
漏洞影响范围: 
Struts 2.3.x全系版本(根据实际测试,2.3版本也存在该漏洞)
Struts 2.5 - Struts 2.5.12

三. 漏洞详细分析信息

本次Struts2漏洞是因为它的一个REST插件struts2-rest-plugin.jar用到了XStreamHandler这个类,这个类对http请求中content-type是application/xml的,调用XStream进行处理,这里先看一下污点传入,如图:
1

2
然而漏洞真正存在域XStream中,触发的根本在于javax.imageio.spi.FilterIterator类的next()会调用FilterIterator$Filter的filter(),然后javax.imageio.ImageIO$ContainsFilter的filter()方法中会用反射调用java.lang.ProcessBuilder().start()

先说一下利用代码, 如图所示
3

之前github已经公开利用代码,地址https://github.com/mbechler/marshalsec,上图代码只不过是他的exp当中的一个payload而已,这里我详细分析一下,主要是利用javax.imageio.ImageIO$ContainsFilter这个内部类,我们先看下代码,如图:
4

然后我们再来看利用代码,如图
5

这里用反射将java.lang.ProcessBuilder().start()设置进入ContainsFilter对象里,以待后面漏洞触发时调用
6

这里用无参的constructor去newInstance对象,生成空对象,然后再用反射去填充对应属性,实际上这里就是对应xml中的每个dom属性,根据代码逻辑我们可以看出,这里层层封装最终放到nativeString对象的value属性里,然后继续跟踪代码
7

最终将上面NativeString的对象放到了HashMap里,
8

最后对上面return的那个hashMap做toXML序列化,然后就有了今天公开的exploit。

下面分析漏洞触发流程,漏洞触发就是fromXML重组对象的过程了,如图
9

XStream反序列化的逻辑,实际上是解析XML DOM重组对象的一个过程,如图:
10

当解析到jdk.nashorn.internal.objects.NativeString这个类的时候,漏洞触发,先看下此时的调用栈,如图
11

这里我们看到了熟悉的hashCode,这根groovy的反序列化利用类触发逻辑类似。因为exp代码中我们最终将NativeString对象最终放到了hashMap里然后对hashMap进行序列化,所以当反序列化重组对象的时候,肯定会触发hashCode逻辑。继续跟踪,这里NativeString和Base64Data都属于java未公开的代码,官方未提供源码,不过我们可以参考openjdk的源码,如图,先看NativeString,如图
12

这里value是前面封装的Base64Data的对象,后面进入Base64Data的逻辑,如图:
13

这里对应依次解析xml中的dataHandler、XmlDataSource的对象,从中取出CipherInputStream的对象,同理依次解析,最终在重组javax.imageio.spi.FilterIterator对象的时候触发漏洞,这里看一下利用代码,如图:
14
15

这里cfCons.newInstance(ProcessBuilder.class.getMethod("start"), "foo")被设置为FilterIterator的filter,因为javax.imageio.spi.FilterIterator类的next()会调用FilterIterator$Filter的filter()函数,而此时FilterIterator$Filter正是javax.imageio.ImageIO$ContainsFilter,这里我们在javax.imageio.ImageIO$ContainsFilter的filter()下断,代码如图
16

这里的method是正是ProcessBuilder().start()方法,此时调用栈如图:
17

最终触发成功,漏洞复现如下图:
18

四. 分析总结

我们回顾Struts2 发布的安全公告,应该来说是当前Java web框架里面存在安全最多的,运维人员和开发人员已经“见怪不怪”,本次官方漏洞公告对外发出受影响版本为2.5.X全系,但是我们在实际测试过程发现。2.3.X全系版本同样存在此漏洞。

snipaste20170907_094852

作为安全运维人员和开发人员,我们需要做的就是快速获取漏洞情报,快速响应和处置,把业务风险降到最低。

五. 如何检测漏洞?

如果您是运维人员或开发人员,建议您尽快关注并资产,您可以检查使用了REST插件Struts版本是否在受影响范围内,如果存在建议您尽快按照以下方式修复漏洞。

六. 如何规避漏洞风险?

  1. 目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本;
  2. 阿里云云盾WAF已发布该漏洞规则,您也可以选用WAF对利用该漏洞的攻击行为进行检测和防御,以规避安全风险。

六. 参考信息

  • https://cwiki.apache.org/confluence/display/WW/S2-052
  • https://struts.apache.org/docs/s2-052.html

七. 技术支持

最后感谢阿里巴巴安全专家柏通的详细的漏洞分析工作。

文章评论

 程序员的样子
程序员的样子
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
代码女神横空出世
代码女神横空出世
鲜为人知的编程真相
鲜为人知的编程真相
漫画:程序员的工作
漫画:程序员的工作
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
那些争议最大的编程观点
那些争议最大的编程观点
程序员必看的十大电影
程序员必看的十大电影
总结2014中国互联网十大段子
总结2014中国互联网十大段子
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
我是如何打败拖延症的
我是如何打败拖延症的
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
为什么程序员都是夜猫子
为什么程序员都是夜猫子
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
如何成为一名黑客
如何成为一名黑客
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
Java程序员必看电影
Java程序员必看电影
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
每天工作4小时的程序员
每天工作4小时的程序员
中美印日四国程序员比较
中美印日四国程序员比较
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
一个程序员的时间管理
一个程序员的时间管理
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
程序员都该阅读的书
程序员都该阅读的书
程序员和编码员之间的区别
程序员和编码员之间的区别
程序员的鄙视链
程序员的鄙视链
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
程序员应该关注的一些事儿
程序员应该关注的一些事儿
旅行,写作,编程
旅行,写作,编程
老程序员的下场
老程序员的下场
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
编程语言是女人
编程语言是女人
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有