1. 漏洞信息:
2017年9月5日,Apache Struts 发布最新安全公告。Apache Struts2 的 REST 插件存在远程代码执行的高危漏洞,当启用 Struts REST 的 XStream handler 去反序列化处理一个没有经过任何类型过滤的 XStream 的实例,可能导致在处理 XML 时造成远程代码执行漏洞。
2. 影响版本
Apache Struts Version:2.3.33
Apache Struts Version:Struts 2.5 – Struts 2.5.12
漏 洞 验 证
验证环境:
Apache Tomcat 7.0
struts-2.5.12
验证步骤:
1. 从struts2的官网下载最后受影响的版本struts-2.5.12,地址:http://archive.apache.org/dist/struts/2.5.12/struts-2.5.12-apps.zip
下载完成之后,解压压缩文件,将其中app目录下的 struts2-rest-showcase.war 文件放到 tomcat 的 webapps 目录下。
2. 访问浏览器 http://127.0.0.1:8080/struts2-rest-showcase/ 页面,会显示图中的页面,选择一个ID,点击编辑。
3. 进入编辑页面,点击 submit 按钮,burp 抓包拦截此数据。
请求,将请求中的Content-Type的值改为 application/xml。
然后POST的数据用如下 xml 内容代替。
4. 重放数据包,成功弹出计算器。
漏 洞 防 护 措 施
- 方案一
升级Struts到2.5.13最新版本
- 方案二
如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名<constant name=”struts.action.extension” value=”xhtml,,json” />
Seebug照妖镜在线检测地址
https://www.seebug.org/monster/?checker_id=30
知道创宇404实验室出品
往 期 热 门
- 干货 | KCon 黑客大会 2017 议题 PPT 大放送!
- 9月1日,一个比大姨妈还让人瑟瑟发抖的日子。
- 为什么你没有女朋友?
- CVE-2015-2545 Word 利用样本分析
