struts2漏洞_Struts2漏洞系列之「S2-057」namespace可控导致的OGNL表达式执行

最新推荐文章于 2022-01-24 15:09:01 发布

weixin_39718286

最新推荐文章于 2022-01-24 15:09:01 发布

阅读量331

点赞数

文章标签： struts2漏洞 struts2通配符

Smi1e@Pentes7eam

漏洞信息：https://cwiki.apache.org/confluence/display/WW/S2-057

当Struts2的配置满足以下条件时：alwaysSelectFullNamespace值为true、action元素未设置namespace属性或使用了通配符、result type为chain、redirectAction、postback之一。namespace将由用户从uri传入，并作为OGNL表达式计算，最终造成命令执行漏洞。

漏洞复现

影响范围

Struts 2.0.4 - 2.3.34，Struts 2.5.0 - 2.5.16

漏洞分析

struts.xml

="struts.mapper.alwaysSelectFullNamespace" value="true" />

="S2-032" extends="struts-default">

="login" class="com.demo.action.LoginAction">

="success" type="redirectAction">

="actionName">page?username=${username}

="error">index.jsp

="page" class="com.demo.action.PageAction">

="success">welcome.jsp

struts2提供了一个命名空间的概念，可以通过 package的namespace属性来设置，使用它可以避免action的名字冲突，同时也可以在逻辑上给action分类。alwaysSelectFullNamespace用来设置命名空间是否必须进行精确匹配，默认为false。进行精确匹配时要求请求url中的命名空间必须与配置文件中配置的某个命名空间必须相同，如果没有找到相同的则匹配失败。

org.apache.struts2.dispatcher.mapper.DefaultActionMapper的getMapping方法用来从 uri 中解析ActionMapping对象，跟进用来从uri中解析出actionName和namespace的parseNameAndNamespace方法。

当 alwaysSelectFullNamespace为true时，namespace的值可以通过uri控制

在S2-012中我们知道 Result接口的实现类用于对action类实例执行之后结果的处理。struts-default.xml中默认有以下几种，存在漏洞的有chain、redirectAction、postback。

="struts-default" abstract="true">

="chain" class="com.opensymphony.xwork2.ActionChainResult"/>

="dispatcher" class="org.apache.struts2.dispatcher.ServletDispatcherResult" default="true"/>

="freemarker" class="org.apache.struts2.views.freemarker.FreemarkerResult"/>

="httpheader" class="org.apache.struts2.dispatcher.HttpHeaderResult"/>

="redirect" class="org.apache.struts2.dispatcher.ServletRedirectResult"/>

="redirectAction" class="org.apache.struts2.dispatcher.ServletActionRedirectResult"/>

="stream" class="org.apache.struts2.dispatcher.StreamResult"/>

="velocity" class="org.apache.struts2.dispatcher.VelocityResult"/>

="xslt" class="org.apache.struts2.views.xslt.XSLTResult"/>

="plainText" class="org.apache.struts2.dispatcher.PlainTextResult" />

="postback" class="org.apache.struts2.dispatcher.PostbackResult" />

在 com.opensymphony.xwork2.DefaultActionInvocation类的executeResult方法中下断点，因为我们配置的是type="redirectAction"所以这里会调用org.apache.struts2.dispatcher.ServletActionRedirectResult来处理我们的action实例执行结果。

跟进其 execute方法

public void execute(ActionInvocation invocation)throws Exception{

this.actionName=this.conditionalParse(this.actionName,invocation);

if (this.namespace==){

this.namespace=invocation.getProxy.getNamespace;

}else{

this.namespace=this.conditionalParse(this.namespace,invocation);

}

if (this.method==){

this.method="";

}else{

this.method=this.conditionalParse(this.method,invocation);

}

String tmpLocation =this.actionMapper.getUriFromActionMapping(new ActionMapping(this.actionName,this.namespace,this.method,(Map)));

this.setLocation(tmpLocation);

super.execute(invocation);

}

解析出 actionName后由于我们的struts.xml中没有配置namespace，所以this.namespace=会进入invocation.getProxy.getNamespace获取前面解析出的namespace。

public String getNamespace{

return this.namespace;

}

然后会执行 this.actionMapper.getUriFromActionMapping(new ActionMapping(this.actionName, this.namespace, this.method, (Map)))根据actionName、namespace、method组成一个用于跳转的uri，然后调用this.setLocation(tmpLocation)赋值给ServletActionRedirectResult对象的location属性。这个时候后面的流程就和S2-012一样了。

调用 super.execute(invocation)执行org.apache.struts2.dispatcher.StrutsResultSupport类的execute方法，然后在conditionalParse方法中调用了熟悉的TextParseUtil.translateVariables把上面设置的location属性值进行ognl表达式解析。

调用栈

com.opensymphony.xwork2.ActionChainResult和org.apache.struts2.dispatcher.PostbackResult的触发流程跟ServletActionRedirectResult大致一样。

com.opensymphony.xwork2.ActionChainResult在execute方法中直接执行了。

org.apache.struts2.dispatcher.PostbackResult

虽然漏洞的影响版本是Struts 2.5.0 - 2.5.16，然而在2.5.13之后禁止使用 #context来获取OgnlContext对象

2.5.20版本后 excludedClasses不可变了

所以S2-045的绕过方法只能使用到2.5.12。不过在这篇文章中提到2.5.13到2.5.16的绕过方式：作为武器的CVE-2018-11776：绕过Apache Struts 2.5.16 OGNL 沙箱

首先因为 context无法访问，所以第一步是寻找context的替代方案。

作者发现在 attr中有一个keystruts.valueStack，保存着OgnlValueStack对象。

我们可以利用 OgnlValueStack获取context：(#context=#attr['struts.valueStack'].context)

而虽然 excludedClasses等属性不可变，但我们可以利用setter将其置空。

(#context=#attr['struts.valueStack'].context).(#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.setExcludedClasses('')).(#ognlUtil.setExcludedPackageNames(''))

虽然这里调用 setter将excludedClasses等属性清空了，但是这里相当于又给excludedClasses创建了一个新的集合，所以这里excludedClasses的清空并不会令_memberAccess中的excludedClasses清空。

但是我们可以再发送一次请求 (#context=#attr['struts.valueStack'].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime.exec('xcalc'))来令_memberAccess中的excludedClasses清空。这是因为上面说过OgnlUtil使用的是单例模式，每一次请求用的都是同一个OgnlUtil对象。我们第一次请求清空其属性后，在随后的请求中它的属性依然是被清空的。而_memberAccess是一个短暂的对象，每一次请求都会重新创建一个ActionContext以及ValueStack对象

同样每次请求都会对 OgnlValueStack进行依赖注入，所以第二次请求就会将全局对象OgnlUtil被清空后的excludedClasses、excludedPackageNamePatterns、excludedPackageNames赋值给了该请求的_memberAccess，从而完成绕过。

漏洞修复

https://github.com/apache/struts/commit/4a3917176de2df7f33a85511d067f31e50dcc1b2

org.apache.struts2.dispatcher.StrutsResultSupport添加了一个parseLocation属性用来表示是否对跳转的location属性进行OGNL表达式解析

org.apache.struts2.dispatcher.PostbackResult和org.apache.struts2.dispatcher.ServletActionRedirectResult中的parseLocation属性都设置成了false。

而 com.opensymphony.xwork2.ActionChainResult在配置了namespace的情况下才会对其进行OGNL表达式解析。

https://www.easyaq.com