Apache Struts2最新漏洞 S2-052 POC代码执行详情

     

        Apache Struts2 2017年9月5号又爆出高危漏洞,这次漏洞影响较大,包含了之前

Struts2
的版本只要开启了rest插件都会被黑客入侵并攻击。struts-2.5版本、以及struts-2.5.12
 
版本,都会直接默认开启这个插件。具体的漏洞代号是S2-052 漏洞。
 
 
之前网上公开的都是一些简单的漏洞介绍,今天我们深入到漏洞利用详细的给大家演示一
 
下,漏洞的原理实际上是利用了xstream中的imageip gadget参数来生成XML,并执行恶意
 
代码。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,

渗透测试,安全服务于一体的网络安全服务提供商。

 
 
首先要生成我们的payload,复制下面的代码:
 
 
payload代码如下图所示:
 


 
首先寻找Apache Struts2的架构网站,打开payload来post发送请求到Struts2服务器,我
 
们从数据中发现调用到XStreamHandler类的参数值,把xml的值转变成了攻击对象。在对

象的转换过程中,KEY跟value的值就会被服务器解析,当解析完成后,就会调用其他
的key

传入的参数,XStream handler就会利用反序列化的处理方式,去处理XML过来的请求
,并执

行了该代码远程漏洞。

 
 
经过我们sinesafe的安全监测,发现Apache Struts2漏洞公开后,入侵者就会快速的响应,并实

施大范围的攻击,在S2-052出现的24小时内,我们的安全系统,监测到了Apache漏
洞的活动范

围,许多平台,以及金融平台,游戏平台,服务器都被入侵,出现的第一时间
内,Apache官方就

发布了补丁,有些入侵者为了钱,还是会根据补丁进行编程测试漏洞,
并编出响应的攻击软件。

Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检
测、网站漏洞修复,渗透测试,

安全服务于一体的网络安全服务提供商。


 
Struts2 漏洞修复建议:
 
建议删除StrutsREST插件,并只开启jsons。
 
删除XML扩展文件的支持,
 
升级到struts-2.5.13最新版本
分享: