s2-045漏洞分析

这个分析写的我有点汗颜,强烈建议抵制struts2,改为更加可靠的SpringMVC。

背景是,Struts2默认处理multipart报文的解析器是jakarta,是这个组件出现了问题。


该组件定义在了struts-default.xml中,因此,只要不修改parser,并且版本在受影响范围内,肯定是有问题的。

令我非常疑惑的是,一个content-type怎么就能用ognl解析并执行的呢?所以下面来单步调试一下。

问题出现在org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest类中的buildErrorMessage方法里:


传入了非法的Content-type之后会引发JakartaMultiPartRequest类报错,因此会来到这个方法去处理错误信息,进入findText函数:


又调用了getDefaultMessage方法,继续:


关键在这个translateVariable方法里,进入方法定义你就会发现猫腻了。。。。。


居然将错误信息当做ognl表达式执行了,当然,是提取出有效的部分,注意到$以及 %,exp上是%{.....},实际上${....}也可以,不知道会不会绕过某些waf呢。


最终在OgnlTextParser的evaluate方法执行了命令,非常奇怪的逻辑。。。。。为什么非要解析错误信息里的ognl呢


最后,不管是出于什么目的泄露poc都是无耻的行径!!!


阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011721501/article/details/60768657
个人分类: web渗透测试 java
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭