某系統(tǒng)由于struct2漏洞導(dǎo)致被完全攻陷

一.  收獲

創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)欽北,十余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來(lái)電咨詢建站服務(wù):13518219792

本文技術(shù)性不是很強(qiáng)，幾乎都是利用工具來(lái)完成，但是如果沒有靈活地使用工具，也未必能成功，首先是，通過上傳發(fā)現(xiàn)，上傳文件成功卻訪問不了，初步可以判斷我們沒有訪問權(quán)限，此時(shí)，要么可以暴力破解web系統(tǒng)賬號(hào)進(jìn)行訪問，然后再連接***，要么就是找一個(gè)權(quán)限設(shè)置不是很高的目錄進(jìn)行上傳，因此就需要對(duì)一些常用的web部署框架的網(wǎng)站目錄結(jié)構(gòu)有一定的了解。

另外就是有的網(wǎng)站可能有***有一點(diǎn)檢測(cè)機(jī)制，如果上傳文件txt文件能訪問，腳本文件顯示頁(yè)面不存在，那么可以試試上傳一些免殺的***試試。

tip1：快速判斷網(wǎng)站是windows系統(tǒng)還是linux系統(tǒng)，通過對(duì)各自對(duì)大小寫字母的敏感性不同進(jìn)行判斷。如：http://www.10086.cn/gz/index_851_851.html   將index_851_851.html  改為inDex_851_851.html進(jìn)行訪問，發(fā)現(xiàn)更改后不能正常訪問，初步就可以判斷該系統(tǒng)是linux系統(tǒng)，不排除故意干擾性！

二.  ***路徑

2.1  漏洞產(chǎn)生的原因

Apache Struts2的“Dynamic MethodInvocation”機(jī)制是默認(rèn)開啟的，僅提醒用戶如果可能的情況下關(guān)閉此機(jī)制，如果未關(guān)閉此機(jī)制將導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程***者可利用此漏洞在受影響應(yīng)用上下文中執(zhí)行任意代碼。

Apache Struts2在實(shí)現(xiàn)過程中使用了OGNL表達(dá)式，并將用戶通過URL提交的內(nèi)容拼接入OGNL表達(dá)式中，當(dāng)debug模式開啟時(shí)，***者可以通過構(gòu)造惡意URL來(lái)執(zhí)行任意Java代碼，進(jìn)而可執(zhí)行任意命令。

Apache Struts 2.3.1.1之前版本中的DebuggingInterceptor組件中存在漏洞。當(dāng)使用開發(fā)模式時(shí)，遠(yuǎn)程***者可利用該漏洞借助未明向量執(zhí)行任意命令。

Apache Struts2的action:、redirect:和redirectAction:前綴參數(shù)在實(shí)現(xiàn)其功能的過程中使用了OGNL表達(dá)式，并將用戶通過URL提交的內(nèi)容拼接入OGNL表達(dá)式中，從而造成***者可以通過構(gòu)造惡意URL來(lái)執(zhí)行任意Java代碼，進(jìn)而可執(zhí)行任意命令。redirect:和redirectAction:此兩項(xiàng)前綴為Struts默認(rèn)開啟功能，目前Struts 2.3.15.1以下版本均存在此漏洞。

2.2  漏洞發(fā)現(xiàn)

通過使用struct2漏洞檢測(cè)工具，發(fā)現(xiàn)目標(biāo)網(wǎng)站存在s2-016，s2-019 struct2漏洞，如圖：

圖 2.1  struct2漏洞

2.3  漏洞利用

通過對(duì)發(fā)現(xiàn)的struct漏洞使用相關(guān)利用工具進(jìn)行利用，一步步開始***該系統(tǒng)！

2.4  獲取目標(biāo)信息

***該系統(tǒng)之前，首先需要獲取到系統(tǒng)的相關(guān)信息，獲取到的目標(biāo)信息如圖：

圖 2.2  系統(tǒng)相關(guān)信息

兩個(gè)漏洞確實(shí)是真實(shí)存在的，并且獲取了當(dāng)前站點(diǎn)的真實(shí)物理路徑，另外用戶權(quán)限是最高級(jí)權(quán)限system權(quán)限，為下一步***計(jì)劃創(chuàng)建了一個(gè)良好的環(huán)境。

2.5  執(zhí)行系統(tǒng)命令

通過對(duì)這兩個(gè)漏洞進(jìn)行命令執(zhí)行，在前期收集到該系統(tǒng)是windows系統(tǒng)（一個(gè)簡(jiǎn)單的判斷就是根據(jù)windows和linux系統(tǒng)對(duì)大小寫敏感程度不同），所以直接執(zhí)行windows命令，可知s2-016可以執(zhí)行系統(tǒng)命令，s2-019執(zhí)行命令出錯(cuò)，如圖：

圖 2.3  執(zhí)行系統(tǒng)命令

從執(zhí)行結(jié)果可以看出，該網(wǎng)站是從內(nèi)網(wǎng)通過端口映射到外網(wǎng)的，并且獲取到內(nèi)網(wǎng)ip地址。查看系統(tǒng)用戶，發(fā)現(xiàn)3個(gè)賬號(hào)，由此可見權(quán)限是很高的！

圖 2.4  系統(tǒng)賬戶

添加用戶eth20，添加賬戶成功，如圖：

圖 2.5  添加eth20賬戶

由于只是***測(cè)試，因此不進(jìn)行下一步操作，下一步就是將添加的用戶添加至管理組，然后開遠(yuǎn)程桌面，從上可以看出，當(dāng)前權(quán)限是最高權(quán)限，因此下一步是完全可行的，一旦遠(yuǎn)程桌面連接成功，那么就可以使用相關(guān)工具獲取到系統(tǒng)賬號(hào)密碼，然后刪除之前添加的賬號(hào)，這樣會(huì)大大減小被發(fā)現(xiàn)的風(fēng)險(xiǎn)，以便長(zhǎng)時(shí)間進(jìn)行控制該服務(wù)器。（備注，添加的賬號(hào)已刪除）。

2.6  文件上傳

由于本次檢測(cè)出了s2-016，s2-019漏洞，但是只有s2-016可以執(zhí)行系統(tǒng)命令，如果沒有s2-016，那么我們接下來(lái)就是進(jìn)行文件上傳，上傳***，從而進(jìn)行控制服務(wù)器。

先在當(dāng)前目錄上傳一個(gè)測(cè)試文件，發(fā)現(xiàn)雖然顯示上傳ok，但是卻訪問不了，初步排斷是做了限制，由此排斷當(dāng)前目錄沒有相關(guān)訪問權(quán)限，通過對(duì)tomcat了解，發(fā)現(xiàn)webapp下還有一個(gè)ROOT目錄（相關(guān)于網(wǎng)站根目錄），于是上傳至該目錄，發(fā)現(xiàn)上傳成功，并能訪問，如圖：

圖 2.6  上傳測(cè)試文件

圖 2.7  上傳測(cè)試文件成功

接著上傳***文件，并使用菜刀連接，成功，如圖：

圖 2.8  菜刀成功連接

菜刀連接成功以后，由于是system權(quán)限，因此可任意下載系統(tǒng)中文件，并且可以上傳惡意文件及工具，從而一步步攻陷該服務(wù)器！

通過查看文件發(fā)現(xiàn)，之前上傳的文件上傳成功了，只是訪問不了。

另外通過上傳文件，并配合虛擬終端，則可一步步完全控制該服務(wù)器，如圖：

圖 2.9  菜刀虛擬終端

至此，已到達(dá)想要的***效果，于是本次對(duì)該漏洞的利用情況到此結(jié)束！

2.7  修復(fù)建議

目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問題，請(qǐng)到廠商的主頁(yè)下載。

漏洞： s2-016，s2-019！

 

三.  總結(jié)與建議

3.1  現(xiàn)狀總結(jié)

綜上可知，該站點(diǎn)目前是是否危險(xiǎn)的，應(yīng)盡快修復(fù)該漏洞！

3.2  安全建議

對(duì)于發(fā)現(xiàn)的漏洞應(yīng)及時(shí)整改，打相應(yīng)補(bǔ)丁進(jìn)行解決！

新聞標(biāo)題：某系統(tǒng)由于struct2漏洞導(dǎo)致被完全攻陷
文章地址：http://muchs.cn/article16/jpjcgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站設(shè)計(jì)公司、全網(wǎng)營(yíng)銷推廣、營(yíng)銷型網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)