一、实验环境
1、操作机:Windows XP
2、目标机:CentOS 6.5
二、实验目的
了解S2-045 Struts2远程命令执行漏洞的危害,掌握检测修复S2-045 Struts远程命令执行漏洞技术。
Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵,恶意用户在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
四、影响范围和不受影响的范围
1、影响范围:Struts 2.3.5 -Struts 2.3.31, Struts 2.5 -Struts 2.5.10
2、不受影响的范围:Struts 2.3.32, Struts 2.5.10.1
五、快速检测方式
使用知道创宇SeeBug照妖镜可以直接检测该站点是否存在漏洞。
六、漏洞危害
在default.properties文件中,struts.multipart.parser的值有两个选项分别是jakarta和pell,其中的jakarta解析器是Struts 2框架的标准组成部分,默认情况下jakarta是启用的,所以该漏洞的严重性需得到正视,攻击者可以通过远程命令注入执行,另系统执行恶意命令,导致黑客入侵,从而威胁服务器安全,影响极大。
七、实验步骤
1. 验证漏洞
打开目标网站:http://172.16.12.2/,发现目标网站跳转至:http://172.16.12.2/example/HelloWorld.actiond。
打开cmd并切换至poc.exe所在目录,执行下列命令: poc.exe http://172.16.12.2/example/HelloWorld.action "ifconfig",成功执行,说明漏洞存在,可以尝试其他命令: poc.exe http://172.16.12.2/example/HelloWorld.action "cat /etc/passwd"。
2. 修复漏洞
修改Struts2的Multipart parser。
使用ssh登陆到目标主机172.16.12.2,用户名root,密码123456。
将struts2-core-2.3.31.jar下载到桌面,修改文件扩展名为struts2-core-2.3.31.zip,解压并打开文件夹orgapachestruts2,编辑struts.multipart parser文件,该选项就是Struts2的Multipart parser应用配置,默认值是jakarta,即此次出现命令执行漏洞的上传框架,将其修改为pell,相当于将存在漏洞的jakarta框架禁用了,修改值struts.multipart parser,保存,退出(在struts.multipart parser=jakarta前加上#,去掉struts.multipart parser=pell前面的#),重新打包.jar文件,在struts2-core-2.3.31文件夹全部选中,压缩打包为struts2-core-2.3.31.jar,替换.jar文件,使用SSH工具中的Xftp,将原有的文件mov至/目录,将新打包的文件放到该目录下,重启tomcat,cd /var/www/apache-tomcat-7.0.14/bin ./startup.sh,漏洞验证 poc.exe http://172.16.12.2/example/HelloWorld.action "ifconfig",此时poc程序已无法成功利用了。
S2-045漏洞是一个严重的安全威胁,需要及时检测和修复,通过上述步骤,可以有效地检测和修复该漏洞,保障系统安全。
各位小伙伴们,我刚刚为大家分享了有关s2-045漏洞检测的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/90998.html
