Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Exploit para Apache Struts (ejecución remota de comandos) [Tomcat]|CVE2017-5638

  • 9 Respuestas
  • 7560 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Eschiclers

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Reputación 1
  • Sólo la araña está a salvo en su tela.
    • Ver Perfil
    • Wearelegal
    • Email
  • Twitter: @Eschiclers
« en: Marzo 21, 2017, 03:26:46 am »
Hace cosa de unos días, salió a la luz un exploit para servidores tomcat, con Apache Struts, el cual aprovecha un fallo en la función upload del parser de Jakarta y muestra cómo modificar la cabecera Content-Header para inyectar comandos de sistema operativo cuando se llama a un action. El link a exploit-db de este CVE es: https://www.exploit-db.com/exploits/41614/

Y cómo a mi no me gusta sólo hablar, ¿qué tal si lo llevamos a la práctica?
Bueno, yo usaré este script, creado por un usuario llamado "mazen160": https://github.com/mazen160/struts-pwn

Lo primero que debemos saber, es que para encontrar estas webs vulnerables, debemos usar el siguiente dork: "filetype:action", cabe decir que no todas las webs son vulnerables, pero si la gran mayoría, y suelta millones de resultados. Una vez hemos elegido una web, para realizar las pruebas, en mi caso será "www.wedtool.com", vamos a ponerlo en práctica.
Deberemos usar el parámetro "--check" para verificar que la web sea vulnerable, que cómo veréis aquí, esta sí lo es:



Cómo véis, el comando que he utilizado es el siguiente:
Código: [Seleccionar]
./struts-pwn.py  --check -u 'http://www.wedtool.com/showfaq.action'
Obvio que proxychains no me dará todo el anonimato que ḿe gustaría con tor, pero, algo es mejor que nada, ¿no?
Bueno, como veréis, si la web es vulnerable, soltará un "Status: Vulnerable!", eso es que ya tenemos web, ahora podremos ejecutar CUALQUIER comando mediante el parámetro "-c", por ejemplo, vamos a comprobar qué usuario tenemos en el servidor.



Código: [Seleccionar]
./struts-pwn.py -u 'http://www.wedtool.com/showfaq.action' -c 'whoami'
Cómo véis, en esta web tenemos el usuario "tomcat", pero, en muchísimas webs, en la gran mayoría, obtuve el usuario "root", y cómo veis, en whoami, podemos poner cualquier cosa, como por ejemplo, hagamos un listado de los archivos:



Código: [Seleccionar]
./struts-pwn.py -u 'http://www.wedtool.com/showfaq.action' -c 'ls'
Y aquí tenemos el listado de los archivos fácilmente. Y sí, podemos ver otras cosas y tomar el contorl del servidor, instalar cosas con yum, apt, o la que corresponda, y lo que nuestra imaginación nos deje.

Y bueno, yo me despido ya dejándo este exploit por aquí, espero que haya quedado completo y entendido, si hay alguna duda, no dudéis en escribir, espero que os haya gustado, sólo para aprender, claramente, no me hago responsable de lo que hagáis, y si tenéis algún servidor con tomcat, os recomiendo verificar que no sea vulnerable, un saludo <3
Si quieres hablar conmigo, puedes hacerlo por el IRC de underc0de, o por Telegram: @Eschiclers
Sólo la araña está a salvo en su tela.

Desconectado PikachuDorado

  • *
  • Underc0der
  • Mensajes: 372
  • Actividad:
    0%
  • Reputación 1
  • Im just a Pikachu
    • Ver Perfil
    • Soporte Ava
« Respuesta #1 en: Marzo 21, 2017, 07:42:41 am »
Wow hay que estar al dia TODO el tiempo. Me encanta.
Como se parchearia esta vulnerabilidad?


Gracias por el aporte. Muy bien explicado
Pikaa~


Desconectado DUDA

  • *
  • Underc0der
  • Mensajes: 334
  • Actividad:
    0%
  • Reputación 1
  • Hago pocas cosas, pero las hago bien.
    • Ver Perfil
« Respuesta #2 en: Marzo 21, 2017, 12:59:10 pm »
Hola @Eschiclers encontre un site vulnerable:



Sin embargo al seguir con los pasos, me muestra un error en este comando:

Código: [Seleccionar]
python struts-pwn.py -u 'https://www.siteurl' -c 'whoami'


¿Que puede estar pasando?

Saludos,

Desconectado Eschiclers

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Reputación 1
  • Sólo la araña está a salvo en su tela.
    • Ver Perfil
    • Wearelegal
    • Email
  • Twitter: @Eschiclers
« Respuesta #3 en: Marzo 21, 2017, 01:44:32 pm »
Hola @Eschiclers encontre un site vulnerable:



Sin embargo al seguir con los pasos, me muestra un error en este comando:

Código: [Seleccionar]
python struts-pwn.py -u 'https://www.siteurl' -c 'whoami'


¿Que puede estar pasando?

Saludos,

Respondido por IRC
Si quieres hablar conmigo, puedes hacerlo por el IRC de underc0de, o por Telegram: @Eschiclers
Sólo la araña está a salvo en su tela.

Desconectado Eschiclers

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Reputación 1
  • Sólo la araña está a salvo en su tela.
    • Ver Perfil
    • Wearelegal
    • Email
  • Twitter: @Eschiclers
« Respuesta #4 en: Marzo 21, 2017, 01:46:55 pm »
Wow hay que estar al dia TODO el tiempo. Me encanta.
Como se parchearia esta vulnerabilidad?


Gracias por el aporte. Muy bien explicado

Y tan al día, este 0day, funciona desde las versiones de hace unos 5 años, y ha salido hace unos escasos días, así que parches oficiales CREO, aún no hay, pero un sysadmin con bastante creatividad, podrá arreglarlo evitando que se puedan ejecutar comandos  ;D
Si quieres hablar conmigo, puedes hacerlo por el IRC de underc0de, o por Telegram: @Eschiclers
Sólo la araña está a salvo en su tela.

Desconectado PikachuDorado

  • *
  • Underc0der
  • Mensajes: 372
  • Actividad:
    0%
  • Reputación 1
  • Im just a Pikachu
    • Ver Perfil
    • Soporte Ava
« Respuesta #5 en: Marzo 21, 2017, 07:18:26 pm »
Yo que vos la respuesta x irc, publicala igual.
Otro puede tener la misma inquietud.

Saludos,
Pikaa~


Desconectado Eschiclers

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Reputación 1
  • Sólo la araña está a salvo en su tela.
    • Ver Perfil
    • Wearelegal
    • Email
  • Twitter: @Eschiclers
« Respuesta #6 en: Marzo 21, 2017, 08:58:25 pm »
Yo que vos la respuesta x irc, publicala igual.
Otro puede tener la misma inquietud.

Saludos,

Sólo era un problema aislado, cosa de la página web, del servidor en general
Si quieres hablar conmigo, puedes hacerlo por el IRC de underc0de, o por Telegram: @Eschiclers
Sólo la araña está a salvo en su tela.

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #7 en: Marzo 22, 2017, 07:19:43 pm »
Da falsos negativos esta herramienta, la estuve probando y marcaba "No vulnerable a varios sitios", pero al usar otro exploit que usa la misma vulnerabilidad si funciona

Saludos!

Desconectado DUDA

  • *
  • Underc0der
  • Mensajes: 334
  • Actividad:
    0%
  • Reputación 1
  • Hago pocas cosas, pero las hago bien.
    • Ver Perfil
« Respuesta #8 en: Marzo 22, 2017, 08:59:31 pm »
Da falsos negativos esta herramienta, la estuve probando y marcaba "No vulnerable a varios sitios", pero al usar otro exploit que usa la misma vulnerabilidad si funciona

Saludos!

Muy interesante, podrías compartir el otro exploit?

Gracias,

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 242
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #9 en: Marzo 23, 2017, 03:57:38 pm »
Da falsos negativos esta herramienta, la estuve probando y marcaba "No vulnerable a varios sitios", pero al usar otro exploit que usa la misma vulnerabilidad si funciona

Saludos!

Muy interesante, podrías compartir el otro exploit?

Gracias,

Si pongo la URL me marcarian Spam, ve al sitios de hackplayers, ahi esta posteado

 

¿Te gustó el post? COMPARTILO!



Routerpwn, un framework para explotar dispositivos embebidos desde tu celular

Iniciado por hkm

Respuestas: 2
Vistas: 3508
Último mensaje Agosto 01, 2011, 11:45:43 pm
por JaAViEr
SAPYTO – Framework para realizar Penetration Tests sobre sistemas SAP

Iniciado por ZanGetsu

Respuestas: 1
Vistas: 2869
Último mensaje Mayo 20, 2013, 08:49:26 pm
por D4rkC0d3r
Gcat - Python Backdoor Usando Gmail para Mando y Control

Iniciado por R3v0lve

Respuestas: 2
Vistas: 5479
Último mensaje Noviembre 18, 2015, 08:52:40 pm
por Stuxnet
Instalación de BadStore en VirtualBox [Vulnerabilidad virtual para practicar]

Iniciado por Stiuvert

Respuestas: 0
Vistas: 3740
Último mensaje Abril 23, 2012, 05:28:08 pm
por Stiuvert
Un pequeño aporte con sqlmap para sacar e-mail con el usser etc..

Iniciado por panik0

Respuestas: 4
Vistas: 3607
Último mensaje Septiembre 18, 2012, 08:12:01 am
por baron.power