![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIyZuBnLlZWY5cTMxYDMmlTOmlzN3YGOygjZlFmM3QWM1UDM3QTZ2ADMldzYw8CXt92Yu4GZjlGbh5SZslmZxl3Lc9CX6MHc0RHaiojIsJye.png)
2017年9月5日,apache struts 2官方釋出一個嚴重級别的安全漏洞公告,該漏洞由國外安全研究組織lgtm.com的安全研究人員發現,漏洞編号為cve-2017-9805(s2-052),在一定條件下,攻擊者可以利用該漏洞遠端發送精心構造的惡意資料包,擷取業務資料或伺服器權限,存在高安全風險。
漏洞編号:
cve-2017-9805
漏洞名稱:
struts2 rest插件遠端執行指令漏洞(s2-052)
官方評級:
嚴重
漏洞描述:
當struts2使用rest插件使用xstream的執行個體xstreamhandler處理反序列化xml有效載荷時沒有進行任何過濾,可以導緻遠端執行代碼,攻擊者可以利用該漏洞構造惡意的xml内容擷取伺服器權限。
漏洞利用條件和方式:
利用條件:使用rest插件并在受影響版本範圍内。
利用方式:攻擊者建構惡意資料包遠端利用。
漏洞影響範圍:
struts 2.3.x全系版本(根據實際測試,2.3版本也存在該漏洞)
struts 2.5 - struts 2.5.12
本次struts2漏洞是因為它的一個rest插件struts2-rest-plugin.jar用到了xstreamhandler這個類,這個類對http請求中content-type是application/xml的,調用xstream進行處理,這裡先看一下污點傳入,如圖:
然而漏洞真正存在域xstream中,觸發的根本在于javax.imageio.spi.filteriterator類的next()會調用filteriterator$filter的filter(),然後javax.imageio.imageio$containsfilter的filter()方法中會用反射調用java.lang.processbuilder().start()
先說一下利用代碼, 如圖所示
然後我們再來看利用代碼,如圖
這裡用反射将java.lang.processbuilder().start()設定進入containsfilter對象裡,以待後面漏洞觸發時調用
這裡用無參的constructor去newinstance對象,生成空對象,然後再用反射去填充對應屬性,實際上這裡就是對應xml中的每個dom屬性,根據代碼邏輯我們可以看出,這裡層層封裝最終放到nativestring對象的value屬性裡,然後繼續跟蹤代碼
最終将上面nativestring的對象放到了hashmap裡,
最後對上面return的那個hashmap做toxml序列化,然後就有了今天公開的exploit。
下面分析漏洞觸發流程,漏洞觸發就是fromxml重組對象的過程了,如圖
xstream反序列化的邏輯,實際上是解析xml dom重組對象的一個過程,如圖:
當解析到jdk.nashorn.internal.objects.nativestring這個類的時候,漏洞觸發,先看下此時的調用棧,如圖
這裡我們看到了熟悉的hashcode,這根groovy的反序列化利用類觸發邏輯類似。因為exp代碼中我們最終将nativestring對象最終放到了hashmap裡然後對hashmap進行序列化,是以當反序列化重組對象的時候,肯定會觸發hashcode邏輯。繼續跟蹤,這裡nativestring和base64data都屬于java未公開的代碼,官方未提供源碼,不過我們可以參考openjdk的源碼,如圖,先看nativestring,如圖
這裡value是前面封裝的base64data的對象,後面進入base64data的邏輯,如圖:
這裡對應依次解析xml中的datahandler、xmldatasource的對象,從中取出cipherinputstream的對象,同理依次解析,最終在重組javax.imageio.spi.filteriterator對象的時候觸發漏洞,這裡看一下利用代碼,如圖:
這裡cfcons.newinstance(processbuilder.class.getmethod("start"), "foo")被設定為filteriterator的filter,因為javax.imageio.spi.filteriterator類的next()會調用filteriterator$filter的filter()函數,而此時filteriterator$filter正是javax.imageio.imageio$containsfilter,這裡我們在javax.imageio.imageio$containsfilter的filter()下斷,代碼如圖
這裡的method是正是processbuilder().start()方法,此時調用棧如圖:
最終觸發成功,漏洞複現如下圖:
作為安全運維人員和開發人員,我們需要做的就是快速擷取漏洞情報,快速響應和處置,把業務風險降到最低。
如果您是運維人員或開發人員,建議您盡快關注并資産,您可以檢查使用了rest插件struts版本是否在受影響範圍内,如果存在建議您盡快按照以下方式修複漏洞。
目前官方已經釋出更新檔,建議更新到 apache struts2.5.13、apache struts 2.3.34版本;
<a href="https://cwiki.apache.org/confluence/display/ww/s2-052">https://cwiki.apache.org/confluence/display/ww/s2-052</a>
<a href="https://struts.apache.org/docs/s2-052.html">https://struts.apache.org/docs/s2-052.html</a>
最後感謝阿裡巴巴安全專家柏通的詳細的漏洞分析工作。