0x00漏洞概述

漏洞介绍

Apache Struts 2被曝存在远程命令执行漏洞，漏洞编号S2-045，CVE编号CVE-2017-5638，在使用基于Jakarta插件的文件上传功能时，有可能存在远程命令执行，导致系统被黑客入侵。

恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令。

影响范围

Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10

不受影响的范围

Struts 2.3.32 Struts 2.5.10.1

0x01 漏洞复现

在实验环境中搭建struts2环境，利用已经准备好的poc.exe 执行远程命令ifconfig命令，可以看到远程主机的ip信息：

1.PNG

说明系统存在此漏洞。

0x02 漏洞修复

修复方案一：

找到struts2的核心包 struts2-core-2.3.31,解压，找到并打开其中的default.properties文件，修改struts.multipart.parser=jakarta
为struts.multipart.parser=pell 保存退出，重新打包生成jar文件，如下图所示：

3.PNG

再次执行如下命令，可以看到远程命令已经无法被解析，说明漏洞修复成功！

5.PNG

修复方案二：

此次 S2-045 漏洞触发点为Content-TypeHTTP头字段，故此可以添加action拦截器，过滤非法请求。

拦截类SecurityFilter.java代码如下所示：

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public class SecurityFilter extends HttpServlet implements Filter {

        /**
         * 
         */
        private static final long serialVersionUID = 1L;


        public final String www_url_encode= "application/x-www-form-urlencoded";
        public final String mul_data= "multipart/form-data ";
        public final String txt_pla= "text/plain";

        public void doFilter(ServletRequest arg0, ServletResponse arg1,
                        FilterChain arg2) throws IOException, ServletException {

                HttpServletRequest request = (HttpServletRequest) arg0;
                HttpServletResponse response = (HttpServletResponse) arg1;

                String contenType=request.getHeader("conTent-type");

                if(contenType!=null&&!contenType.equals("")&&!contenType.equalsIgnoreCase(www_url_encode)&&!contenType.equalsIgnoreCase(mul_data)&&!contenType.equalsIgnoreCase(txt_pla)){

                        response.setContentType("text/html;charset=UTF-8");
                        response.getWriter().write("非法请求Content-Type！");
                        return;
                }
                arg2.doFilter(request, response);
        }

        public void init(FilterConfig arg0) throws ServletException {

        }

}

将SecurityFilter.java文件编译为SecurityFilter.class，放入服务器路径为：/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/classes/

修改web.xml(/var/www/apache-tomcat-7.0.14/webapps/ROOT/WEB-INF/web.xml)使得添加的拦截器生效

添加代码如下：

<filter>
    <filter-name>SecurityFilter</filter-name>
    <filter-class>SecurityFilter</filter-class>
  </filter>
<filter-mapping>
    <filter-name>SecurityFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

保存web.xml之后，再次重新执行远程命令，添加的拦截器将拦截此类action请求，此漏洞也可以修复成功！