s2-045漏洞分析

这个分析写的我有点汗颜,强烈建议抵制struts2,改为更加可靠的SpringMVC。

背景是,Struts2默认处理multipart报文的解析器是jakarta,是这个组件出现了问题。

 

该组件定义在了struts-default.xml中,因此,只要不修改parser,并且版本在受影响范围内,肯定是有问题的。

令我非常疑惑的是,一个content-type怎么就能用ognl解析并执行的呢?所以下面来单步调试一下。

问题出现在org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest类中的buildErrorMessage方法里:

 

传入了非法的Content-type之后会引发JakartaMultiPartRequest类报错,因此会来到这个方法去处理错误信息,进入findText函数:

 

又调用了getDefaultMessage方法,继续:

关键在这个translateVariable方法里,进入方法定义你就会发现猫腻了。。。。。

居然将错误信息当做ognl表达式执行了,当然,是提取出有效的部分,注意到$以及 %,exp上是%{.....},实际上${....}也可以,不知道会不会绕过某些waf呢。

最终在OgnlTextParser的evaluate方法执行了命令,非常奇怪的逻辑。。。。。为什么非要解析错误信息里的ognl呢

 

最后,不管是出于什么目的泄露poc都是无耻的行径!!!

 

  • 6
    点赞
  • 0
    收藏
  • 打赏
    打赏
  • 4
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:技术黑板 设计师:CSDN官方博客 返回首页
评论 4

打赏作者

隐形人真忙

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值