Struts2 Convention插件远程代码执行

最新推荐文章于 2023-03-07 08:38:22 发布
最新推荐文章于 2023-03-07 08:38:22 发布
阅读量134 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/635312
版权

漏洞描述

在基于struts2开发的应用中如果使用convention插件则可以实现远程代码执行(不需要S2-057的类似的需要特定的result才能触发)。该漏洞只需要在lib包中存在convention插件即可。

限制条件

启用convention插件

危害等级

严重(可以实现远程代码执行,SecurityMemberAccess限制绕过)

影响版本

Struts 2.3.20 - Struts 2.3.34,Struts 2.5.0 - Struts 2.5.16

修复方案

更新最新版的struts2,Struts2.3.x则可以更新至2.3.35

http://apache.mirrors.hoobly.com/struts/2.3.35/struts-2.3.35-lib.zip

struts2.5.x则可以更新至2.5.17

http://apache.mirrors.hoobly.com/struts/2.5.17/struts-2.5.17-lib.zip

如果您的应用中使用了Convention插件则尽快升级以上对应版本。

漏洞分析

struts2在处理不存在的action时候会调用ConventionUnknownHandler,从而导致result的location属性可控,而location属性会被ognl处理导致任意代码执行。

在启用Convention插件之后默认会设置alwaysSelectFullNamespace 属性为true,如下图所示:

3c1c38061fb8ab5d28a19f1fcb23bd2e74406839

设置该属性为true的时候可以控制struts2的namespace

可控的url——实现跨目录搜索资源

在struts2中DefaultActionMapper类主要是用来解析url ,将url封装成ActionMapping。首先通过RequestUtils.getUri(request)来获取对应的url。

如下图所示:

b87bbfbf28d518b244250c4ab9aedf381a2489d3

在RequestUtils.getUri(request)的代码实现有个servletPath获取存在一定问题。

99e2e608425c2c434677969974f2662c965086c0

在tomcat8以下是允许特殊字符进入url的。

其中request.getServletPath为获取请求的servletPath

request.getRequestURI为获取请求的URI

例如:

url为:

http://target.com/admin/admin.action

那么获取到的servletPath为/admin,url为/admin/admin.action

如果url为:

http://target.com/..action/../..action;

对应的servletPath:..action

对应的URI为..action/../..action;

从而根据RequestUtils.getServletPath方法获取到的结果就是/../..action;

如果需要多级跨目录则可以构造类似url为

http://target.com/strut2case/demo/demo/..action/../../../..action;

从而根据RequestUtils.getServletPath方法获取到的结果就是/../../../..action;

从而为后面的跨目录寻找资源文件作铺路。

d51c431d62152c73a652590ba59572c16e6bab63

进入解析namespace方法:

f5380feac39bd2892eca8cf1af8490e611fb5ba4

从上图可以看到alwaysSelectFullNamespace为true的时候namespace属性可控(为什么要控制namespace属性,因为只有namespace在下面不会被校验,其他的name属性都会被剔除一些特殊字符)

在创建DefaultActionProxy的时候会调用prepare来查找对应配置文件中的action

0a14e9910a48cd667c2a044d76a8f47dfd66dae4

如果未找到对应的action映射,则会调用

unknownHandlerManager.handleUnknownAction(namespace, actionName)来处理。

其中unknownHandlerManager为Convention plugin配置文件中定义的

0def4462bc2b5ecae41a8b32c83c781aa73bc9a3

跟入ConventionUnknownHandler的handleUnknownAction方法

88d6182f8a2a832c3530374dfd3a0e89acd560f6

其中redirectSlash在convention plugin中的配置文件中默认设置为true

f63fea2662637b5f918aa14bd7f6e565cfed19f4

跟入buildActionConfig

43196e5649355297944c223f19cebe47535f4993

参数path可控而defaultResultParam为result的location属性。

11907230eabd52f5a998ddb74636f881ea7e6be6

所以result的location属性可控,而reulst在执行的时候会调用ognl来处理location属性从而导致rce

c6ad09f70629d7abd228666b1b17e8c08c88f420


原文发布时间为:2018-09-4

本文来自云栖社区合作伙伴“安恒信息”,了解相关信息可以关注“安恒信息”。

weixin_33948416
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2/XWork < 2.2.0远程执行任意代码漏洞分析及修补
JAVA
07-27 272
1.exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞,此漏洞危害之大,可谓百发百中,直接root,只要采用了Struts2和webwork框架的系统(对于webwork的版本,不太清楚,我这里没环境对其一一测试,这里有两者关系的介绍),基本上无一幸免。 2.昨天在接到朋友的提醒后,迅速将公司的一些使用此框架开发的项目漏洞修补了,我想大部分大公司的也在第一时...
Struts2 注解零配置方法(convention件使用)
极客on之路
03-15 482
最近接触到一个新的项目,是做一个使用S2SH的电子商务商城的二次开发。之前使用过S2SH,在此之前的项目中,Struts2 使用的是XML配置而这个项目是使用注解。在这个项目中,注解还不需要使用Action注解,struts会自动识别了指定包下的所有action文件, 我只需要配置result和过滤器就可以了。刚开始接触的时候,有点不习惯,但却觉得这样蛮好用的,后来了解了一下,这个是使用了Stru
struts2中convention的使用
09-29 372
首先需要导入convention的jar包,导入完成之后,如果你只需要使用到convention的基本功能,那就不需要再配置,直接可以使用了。当然,我们可以通过设置其属性来自定义自己的配置。 默认情况下,WEB-INF目录下的content文件夹是存放的是action类执行完毕之后返回资源的结果路径。如果我们访问http://localhost:8080/HelloWorld.actio...
struts2 零配置 + Spring5 整合
weixin_43381785的博客
03-07 814
struts当作Controller层负责servlet交互,而Controller层需要的组件如Service和Dao则由Spring的IoC接管负责。
(转)struts2的零配置
a57565587的专栏
08-01 605
最近开始关注struts2的新特性,从这个版本开始,Struts开始使用convention-plugin代替codebehind-plugin来实现struts的零配置。 配置文件精简了,的确是简便了开发过程,但是,我们熟悉的配置突然disappear了,真是一下很不适应。跟着潮流走吧,看看该怎样来搞定convention-plugin。 使用Convention件,你需要将其JAR文件放
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
04-26
升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...
struts2的各种jar包
09-10
12. **安全性**:Struts2历史上曾出现过一些安全漏洞,如著名的CVE-2017-5638(Struts2远程代码执行漏洞),因此定期更新和使用安全件(如OWASP Java Encoder)至关重要。 综上所述,"struts2的各种jar包"涵盖了...
struts2-2.3.32 相关jar包
08-14
S2-045漏洞,全称是“Struts2 OGNL注入漏洞”,这是一个严重的安全问题,允许攻击者通过恶意构造的HTTP请求向应用程序注入任意OGNL(Object-Graph Navigation Language)表达式,可能导致远程代码执行(RCE)。...
Struts2 2.3.32
03-08
S2-045,也称为"Struts Shocker",是一个远程代码执行(RCE)漏洞,允许攻击者通过精心构造的HTTP请求在服务器端执行任意代码。这个漏洞出现在Struts2的OGNL(Object-Graph Navigation Language)表达式处理中,OGNL...
UnknownHandler
weixin_34085658的博客
04-09 178
未知处理器 从struts2.1 开始 ,struts2配置文件的DTD中增加了&lt;unknown-handler-stack…/&gt;和&lt;unknown-handler-ref…/&gt;,这个元素用于配置Struts2的未知处理器。        当用请求未知Action、或指定action里的未知方法、或action 处理结束之后返回一个未知result ,struts2允许...
ASP.NET MVC 之controller 找不到action 的处理方式
weixin_34025051的博客
10-24 1357
2019独角兽企业重金招聘Python工程师标准>>> ...
MVC中Controller控制器相关技术
diehe5608的博客
06-26 421
第6章Controller相关技术 Controller(控制器)在ASP.NET MVC中负责控制所有客户端与服务器端的交互,并 且负责协调Model与View之间的数椐传递,是ASP.NET MVC整体运作的核心角色,非常重 6.3 Controller的运行过程 在ASP.NET MVC中并非所有动作方法都必须回传ActionResult类别或其衍生类别,也可以直接使用.N...
asp.net MVC 找不到Action 时的处理方法
weixin_34262482的博客
12-04 520
如果ActionInvoker 找不到对应的Action,默认会运行System.Web.Mvc.Controller 类别的HandleUnknownAction 方法,在System.web.Mvc.Controller 类别里HandleUnknownAction 方法默认会响应404找不到资源的错误消息, 这里只需要重写一个HandleUnKonwAction 方...
今天学习得心得
技术分享
01-15 2187
Action访问servlet API     Struts2 的action 并未直接与任何servlet API 耦合,这是struts 2 改良之处,因为Action类不在与servlet  API 耦合,从而能更轻松测试该action。但对于web 的控制器而言,不访问servlet  API 是不可能的,例如跟踪HttpSession的状态等。Struts2框架提供了一种更轻松的
struts2漏洞
qq_52527336的博客
06-30 9973
记一下笔记一个个写吧
Apache Struts2远程代码执行漏洞(S2-013)复现
qq_36933272的博客
09-03 1733
查询原理:s:url和s:a标记都提供includeparams属性。 该属性的主要作用域是了解包含或不包含http://request参数的内容。 INCLUDEParams的允许值为: 无-在URL中不包含任何参数(默认) get-仅在URL中包含get参数 全部-在URL中同时包含get和post参数 包含精心设计的请求参数的请求可用于将任意ognl代码注入堆栈,随后用作URL或标记的请求参...
struts2远程代码执行漏洞合集
黑白的博客
12-21 4648
声明 好好学习,天天向上 S2-001 漏洞描述 因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 影响范围 Struts 2.0.0 - Struts 2.0.8 复现过程 使用vulhub cd /app/vulhub-m
Apache Struts2远程代码执行漏洞(S2-029)复现
qq_36933272的博客
09-03 1564
打开源代码,发现传递信息的参数是message 查找S-2-029的poc,(#_memberAccess[‘allowPrivateAccess’]=true,#_memberAccess[‘allowProtectedAccess’]=true,#_memberAccess[‘excludedPackageNamePatterns’]=#_memberAccess[‘acceptPropert...
深度剖析Struts2远程代码执行漏洞
weixin_34378045的博客
09-19 1550
本文讲的是深度剖析Struts2远程代码执行漏洞, 三月初,安全研究人员发现世界上最流行的JavaWeb服务器框架之一– Apache Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-046,CVE编号为:CVE-2017-5638)风险等级为高危漏洞。 漏洞描述 该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错...
struts2使用了Convention件如何配置权限拦截器
最新发布
05-31
要在Struts2中使用Convention件配置权限拦截器,可以按照以下步骤操作: 1. 在`struts.xml`文件中配置一个拦截器栈,例如: ```xml <struts> <constant name="struts.convention.action.packages" value=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值