Struts2 devMode导致远程代码执行漏洞

一、漏洞基本信息

CVE编号：暂无
漏洞名称：Struts2 devMode导致远程代码执行漏洞
漏洞发布日期：2016.06
受影响的软件及系统：在开启devMode情况下，本漏洞可影响Struts 2.1.0--2.5.1，通杀Struts2所有版本
漏洞概述：Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件的情况下，攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438，目前命名为S2-037。,黑客可以利用漏洞直接执行任意代码，绕过文件限制，上传文件，执行远程命令，控制服务器，直接盗取用户的所有资料，该漏洞广泛影响所有struts版本。

二、漏洞原理分析

      Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开，所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化，但是相对于WebWork，Struts 2的变化很小。

     当Struts2开启devMode模式时，将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时，可远程执行任意命令，包括关机、建立新用户、以及删除服务器上所有文件等等。

    evMode模式，看名称也知道，是为Struts2开发人员调试程序准备的，在此模式下可以方便地查看日志等信息。默认情况下，devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式，自然面临更大的安全问题，需要尽快修复。

三、漏洞检测方法

1、使用工具直接检测1：https://github.com/ym2011/Some-PoC-oR-ExP/tree/master/Struts2/Struts2-devMode

2、使用工具直接检测3：链接：http://pan.baidu.com/s/1kV8Q8S3 密码：45ry

四、漏洞修复方案

关闭devMode:在struts.xml 设置
<constant name="struts.devMode" value="false" />

五、漏洞修复结果验证

1、使用工具直接检测1：https://github.com/ym2011/Some-PoC-oR-ExP/tree/master/Struts2/Struts2-devMode

2、使用工具直接检测3：链接：http://pan.baidu.com/s/1kV8Q8S3 密码：45ry

欢迎大家分享更好的思路，热切期待^^_^^ !