s2-045漏洞的复现及其修复

0x00漏洞概述
漏洞介绍 Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
影响范围 Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10
【s2-045漏洞的复现及其修复】不受影响的范围
Struts 2.3.32 Struts 2.5.10.1
0x01 漏洞复现
在实验环境中搭建struts2环境,利用已经准备好的poc.exe 执行远程命令ifconfig命令,可以看到远程主机的ip信息:
s2-045漏洞的复现及其修复
文章图片
1.PNG 说明系统存在此漏洞。
0x02 漏洞修复
修复方案一: 找到struts2的核心包 struts2-core-2.3.31,解压,找到并打开其中的default.properties文件,修改struts.multipart.parser=jakarta
为struts.multipart.parser=pell 保存退出,重新打包生成jar文件,如下图所示:

s2-045漏洞的复现及其修复
文章图片
3.PNG 再次执行如下命令,可以看到远程命令已经无法被解析,说明漏洞修复成功!

s2-045漏洞的复现及其修复
文章图片
5.PNG 修复方案二: 此次 S2-045 漏洞触发点为Content-TypeHTTP头字段,故此可以添加action拦截器,过滤非法请求。
拦截类SecurityFilter.java代码如下所示:

import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class SecurityFilter extends HttpServlet implements Filter {/** * */ private static final long serialVersionUID = 1L; public final String www_url_encode= "application/x-www-form-urlencoded"; public final String mul_data= "https://www.it610.com/article/multipart/form-data"; public final String txt_pla= "text/plain"; public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) arg0; HttpServletResponse response = (HttpServletResponse) arg1; String contenType=request.getHeader("conTent-type"); if(contenType!=null&&!contenType.equals("")&&!contenType.equalsIgnoreCase(www_url_encode)&&!contenType.equalsIgnoreCase(mul_data)&&!contenType.equalsIgnoreCase(txt_pla)){response.setContentType("text/html; charset=UTF-8"); response.getWriter().write("非法请求Content-Type!"); return; } arg2.doFilter(request, response); }public void init(FilterConfig arg0) throws ServletException {}}

将SecurityFilter.java文件编译为SecurityFilter.class,放入服务器路径为:/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/classes/
修改web.xml(/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/web.xml)使得添加的拦截器生效
添加代码如下:
SecurityFilter SecurityFilter SecurityFilter /*

保存web.xml之后,再次重新执行远程命令,添加的拦截器将拦截此类action请求,此漏洞也可以修复成功!

    推荐阅读