实验环境
操作机:Windows XP
目标机:CentOS 6.5
实验目的
了解S2-045 Struts2远程命令执行漏洞的危害
掌握检测修复S2-045 Struts远程命令执行漏洞技术
实验内容
Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
恶意用户在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
影响范围
Struts 2.3.5 --Struts 2.3.31
Struts 2.5 --Struts 2.5.10
不受影响的范围
Struts 2.3.32 Struts 2.5.10.1
快速检测方式
使用知道创宇SeeBug照妖镜可以直接检测该站点是否存在漏洞。
漏洞危害
在default.properties文件中,struts.multipart.parser的值有两个选项分别是jakarta和pell。其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需得到正视。
攻击者可以通过远程命令注入执行,另系统执行恶意命令,导致黑客入侵,从而威胁服务器安全,影响极大。
实验步骤
步骤一:验证漏洞
打开目标网站:http://172.16.12.2/
发现目标网站跳转至:http://172.16.12.2/example/HelloWorld.actiond
打开cmd并切换至poc.exe所在目录,执行下列命令:
poc.exe http://172.16.12.2/example/HelloWorld.action "ifconfig"
成功执行,说明漏洞存在。可以尝试其他命令:
poc.exe http://172.16.12.2/example/HelloWorld.action "cat /etc/passwd"
步骤二:修复漏洞
修改Struts2的Multipart parser
1,使用ssh登陆到目标主机172.16.12.2,用户名root,密码123456
2,将struts2-core-2.3.31.jar(路径:/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INT/lib/)下载到桌面,修改文件扩展名为struts2-core-2.3.31.zip,解压并打开文件夹orgapachestruts2。
编辑struts.multipart parser文件,该选项就是Struts2的Multipart parser应用配置,默认值是jakarta,即此次出现命令执行漏洞的上传框架。
将其修改为pell,相当于将存在漏洞的jakarta框架禁用了。
修改值struts.multipart parser,保存,退出。(在struts.multipart parser=jakarta前加上#,去掉struts.multipart parser=pell前面的#)
3,重新打包.jar文件
在struts2-core-2.3.31文件夹全部选中,压缩打包为struts2-core-2.3.31.jar
4,替换.jar文件
使用SSH工具中的Xftp,将原有的文件mov至/目录,将新打包的文件放到该目录下。
5,重启tomcat
1 cd /var/www/apache-tomcat-7.0.14/bin 2 ./shutdow.sh 3 ./startup.sh
6,漏洞验证
poc.exe http://172.16.12.2/example/HelloWorld.action "ifconfig"
此时poc程序已无法成功利用了。