getvalue参数计数不匹配_Struts2漏洞系列之「S2-032」特殊参数名前缀 `method:` 导致的OGNL表达式执行

最新推荐文章于 2022-06-30 11:25:32 发布
最新推荐文章于 2022-06-30 11:25:32 发布
阅读量159 收藏
点赞数
文章标签: getvalue参数计数不匹配

Smi1e@Pentes7eam

漏洞信息:https://cwiki.apache.org/confluence/display/WW/S2-007

当启用动态方法调用时,由于特殊参数名前缀 method:的处理方法中未对参数进行过滤,而在执行Action时会对其进行OGNL表达式解析,从而导致OGNL表达式执行。

漏洞复现

f46c649b12f21228a334c0d3896f639a.png

影响范围

Struts 2.3.20 – 2.3.28(2.3.20.3和2.3.24.3除外)

漏洞分析

首先该漏洞需要在 struts.xml中将DynamicMethodInvocation设置为true才能利用成功,2.3.15.1之前默认为true,2.3.15.2开始默认为false。

"struts.enable.DynamicMethodInvocation"value="true"/>

该选项是指是否开启 Dynamic Method Invocation动态方法调用。动态方法调用是指:表单元素的action不直接等于某个Action的名字,而是以感叹号后加方法名来指定对应的动作名,如login!test.action。当指定调用某一方法来处理请求时,就不会走默认执行处理请求的execute方法。

我们知道官方为了修复 S2-016 特殊参数名前缀导致的OGNL表达式执行,删除了 DefaultActionMapper中对特殊参数名前缀redirect:redirectAction的处理,只留下了action:method:

DefaultActionMapper处理method:前缀的地方下断点。因为我们开启了DynamicMethodInvocation,所以这里会进入if条件中把我们的参数名method:及其后面的字符串赋值给ActionMapping对象的method属性。

4bab7d3c6d8124cfe08215177ef2571b.png

ActionMapping对象存储有Action的配置信息,它接着会做为findActionMapping方法的结果返回给StrutsPrepareAndExecuteFilte

e56d0e38b7ef349e5add15fce903152c.png

接着会去调用 this.execute.executeAction(request, response, mapping);,根据ActionMapping对象的信息调用对应的Action

public void executeAction(HttpServletRequest request, HttpServletResponse response, ActionMapping mapping) throws ServletException {

this.dispatcher.serviceAction(request, response, mapping);

}

它调用了DispatcherserviceAction方法,首先使用requestresponsemapping对象封装了一个ContextMap对象,并把OgnlValueStackput进去。然后从mapping中获取 action 对应的命名空间namespace、请求的action名name、请求方法method。接着根据前面获取的信息创建用户自定义Action的ActionProxy对象。

public void serviceAction(HttpServletRequest request, HttpServletResponse response, ActionMapping mapping) throws ServletException {

Map extraContext = this.createContextMap(request, response, mapping);

ValueStack stack = (ValueStack)request.getAttribute("struts.valueStack");

boolean Stack = stack == ;

if (Stack) {

ActionContext ctx = ActionContext.getContext;

if (ctx != ) {

stack = ctx.getValueStack;

}

}

if (stack != ) {

extraContext.put("com.opensymphony.xwork2.util.ValueStack.ValueStack", this.valueStackFactory.createValueStack(stack));

}

String timerKey = "Handling request from Dispatcher";

try {

UtilTimerStack.push(timerKey);

String namespace = mapping.getNamespace;

String name = mapping.getName;

String method = mapping.getMethod;

ActionProxy proxy = ((ActionProxyFactory)this.getContainer.getInstance(ActionProxyFactory.class)).createActionProxy(namespace, name, method, extraContext, true, false);

request.setAttribute("struts.valueStack", proxy.getInvocation.getStack);

if (mapping.getResult != ) {

Result result = mapping.getResult;

result.execute(proxy.getInvocation);

} else {

proxy.execute;

}

......

}

跟进DefaultActionProxyFactorycreateActionProxy方法,它会实例化一个DefaultActionInvocation对象,后面会通过它的invoke来正式执行一系列的拦截器以及Action。最后又调用this.createActionProxy,继续跟进。

4478e2ef4bc7ca5c21dcb60c0b142ded.png

然后会实例化 StrutsActionProxy对象并返回,继续跟进其构造方法。

public ActionProxy createActionProxy(ActionInvocation inv, String namespace, String actionName, String methodName, boolean executeResult, boolean cleanupContext) {

StrutsActionProxy proxy = new StrutsActionProxy(inv, namespace, actionName, methodName, executeResult, cleanupContext);

this.container.inject(proxy);

proxy.prepare;

return proxy;

}

这里会调用父类 DefaultActionProxy的构造方法,继续跟进

public StrutsActionProxy(ActionInvocation inv, String namespace, String actionName, String methodName, boolean executeResult, boolean cleanupContext) {

super(inv, namespace, actionName, methodName, executeResult, cleanupContext);

}

DefaultActionProxy的构造方法会把传入的参数赋值给其对应的属性,在赋值methodName时会调用StringEscapeUtils.escapeHtml4StringEscapeUtils.escapeEcmaScript进行过滤。

escapeEcmaScript(String input) / unescapeEcmaScript(String input):转义/反转义js脚本

escapeHtml4(String input) / unescapeHtml4(String input):转义/反转义html脚本

因此我们的payload中不能出现 < > " ' &等字符串,因此对于字符串参数的传入需要使用#parameters.参数名[0]OgnlValueStack中获取。

d257f0ae657a19eb28302b5df25d41d5.png

最终 StrutsActionProxy对象返回并执行其execute方法。然后执行this.invocation.invoke;this.invocation在上面已经知道是DefaultActionInvocation对象,跟进。

public String execute throws Exception {

ActionContext previous = ActionContext.getContext;

ActionContext.setContext(this.invocation.getInvocationContext);

String var2;

try {

var2 = this.invocation.invoke;

} finally {

if (this.cleanupContext) {

ActionContext.setContext(previous);

}

}

return var2;

}

invoke方法会执行一系列的拦截器以及Action,直接跳过所有拦截器的执行步入执行Action的地方,跟进。

19376af6481c1e01d58f822dfe3b70b7.png

继续跟进

public String invokeActionOnly throws Exception {

return this.invokeAction(this.getAction, this.proxy.getConfig);

}

可以看到这里有一个对 methodName进行getValue的操作,而我们的payload后会拼接一个,因此我们的payload后面要加一个1?#xx:#request.toString来防止报错。

8b0399837cf945be044ff3d034009be8.png

最终执行我们的payload

4f7a702f8af990aea0e78fa6344f477c.png

为什么低版本不行呢?低版本的 com.opensymphony.xwork2.DefaultActionInvocation.invokeAction方法中不会对methodName值做 OGNL 表达式计解析。

b84c8d88a684f1e627a984371879bae2.png

另外Struts 2.3.20 的配置文件中新增加了黑名单配置 struts.excludedClassesexcludedPackageNamePatterns,用来严格验证排除一些不安全的对象类型。

a1c17934add8751f320f9ed33a378204.png fc9acac59962516638780254d6122f36.png

因此以前的payload中通过反射修改 SecurityMemberAccess对象的allowStaticMethodAccess属性和直接调用构造函数已经无法使用了。不过_memberAccess仍然可以访问,而且还有一个静态对象DefaultMemberAccess也可以通过ognl.OgnlContext的静态属性DEFAULT_MEMBER_ACCESS访问,而DefaultMemberAccessSecurityMemberAccess的父类。所以这里可以使用@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS覆盖掉#_memberAccess

1317d9ed3a8a4656585b860d8e30fe91.png

为什么覆盖掉 #_memberAccess就能绕过沙盒呢?

这是因为 OgnlContext中的_memberAccessOgnlValueStack中的securityMemberAccess其实是同一个SecurityMemberAccess类的实例。

首先在初始化 OgnlValueStack对象的时候会调用setRoot,而其中会创建一个SecurityMemberAccess对象。

322a07c0e497337a3a4038b89d802697.png

然后调用 createDefaultContext时会把该SecurityMemberAccess对象赋值给OgnlContext_memberAccess属性。

0ebf7a1e6d8d2180599655de7e2e47a7.png f1f9cea2a08f914a07a1b7cc59ca3a48.png

所以覆盖掉 #_memberAccess就相当于覆盖掉了OgnlValueStack中的securityMemberAccess

漏洞修复

特殊参数名前缀 method:的处理方法中,在对ActionMapping对象的method属性赋值前使用正则[a-zA-Z0-9._!/-]*进行过滤。

a23a14e7f0f3354d21c4594c684cf373.png 606f50be32d0c052a442d4a09f0a876a.png
https://www.easyaq.com
weixin_39768083
关注
s2-048)Struts2 反序列化漏洞
weixin_45253622的博客
12-14 1290
Struts2 Struts2是一个基于MVC设计模式(java)的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。 漏洞复现
Struts2漏洞分析之Ognl表达式特性引发的新思路
HBohan的博客
07-10 737
摘要 在Ognl表达式中,会将被括号“()”包含的变量内容当做Ognl表达式执行Ognl表达式的这一特性,引发出一种新的攻击思路。通过将恶意代码存储到变量中,然后在调用Ognl表达式的函数中使用这个变量来执行恶意的代码,从而实现攻击。 本文将会以CVE-2011-3923漏洞作为示例,描述这种利用思路的具体过程。但是,本文的内容绝不仅仅局限于这个漏洞,在实际的审计过程中,这种思路可以用来发现很多类似的漏洞。 背景介绍与原理分析 这个漏洞和CVE-2010-1870很相似,都是是通过Ognl表达式执行ja.
getvalue参数计数不匹配_OpenCV开发笔记(六十八):红胖子8分钟带你使用特征点Flann最邻近差值匹配识别...
weixin_39862697的博客
11-23 102
若该文为原创文章,未经允许不得转载原博主博客地址:https://blog.csdn.net/qq21497936原博主博客导航:https://blog.csdn.net/qq21497936/article/details/102478062本文章博客地址:https://blog.csdn.net/qq21497936/article/details/107357296各位读者,知识无穷而人...
getvalue参数计数不匹配_那些你不知道的 Python面试题(干货)
weixin_39961369的博客
11-27 178
今天带大家感受一波真正的大厂(大公司)的面试真题,我们从现实的热爱Python到现实转化为改变我们生活的幸福基础的金钱是我们的必经阶段,所以关注真正的试题也是我们要做的一个重要的工作。下面我们就开始对这些体进行简单暴力的解答吧!1、一行代码实现1--100之和利用sum()函数求和2、列出5个python标准库os:提供了不少与操作系统相关联的函数sys: 通常用于命令行参数re: 正则...
ognl.getvalue_带OGNL的Struts 2.0
cuxiong8996的博客
07-05 253
存档日期:2019年5月14日 | 首次发布:2011年3月8日 Struts作为框架的问世从它进入技术界的第一天起就具有革命性意义。 Java™/ J2EE中的许多项目都采用了Struts,随后它已成为基于J2EE的应用程序中最稳定的框架之一。 虽然它仅提供控制器支持,但对于希望为M(模型)和V(视图)部分构建自定义组件的开发人员而言,这可能是一个优势。 在本文中,我们重点介绍Strut...
在并发情况下struts2与spring 组合需要注意的问题
JAVA爱好者的专栏
03-24 169
1.struts2为每个线程提供一个action实例,多线程访问时不会出现问题。当使用spring管理struts2的action实例对象时,scope必须配置为prototype或者session,若配置为 singleton则多线程访问时会出现问题,多用户访问时有的用户访问到的是另一个用户的数据,数据会发生乱窜现象。 2.scope=“prototype”是为每个请求提供一个action...
ognl.rar_OGNL API_struts2 ognl api_struts2帮助文档
09-23
OGNL(Object-Graph Navigation Language)是Struts2框架中重要的表达式语言,它用于在应用程序中进行数据绑定和表达式求值。这篇文档将详细解释OGNL API及其在Struts2框架中的应用。 首先,OGNL是一个强大的、动态...
通过实例深入学习Java的Struts框架中的OGNL表达式使用
09-03
Struts 2框架默认采用OGNL(Object-Graph Navigation Language)作为其表达式语言,因为它提供了丰富的功能和灵活性。本篇文章将深入探讨如何在Struts 2中使用OGNL表达式。 首先,OGNL的优势在于它能够方便地处理...
OGNL表达式基础语法Demo
༺清风暖云༻
12-13 1025
struts2框架中使用的表达式并不是EL表达式,不是不能用,而是struts2有自己的一套御用的表达式字就叫OGNL表达式,本章节就此表达式进行深入的学习,主要是针对OGNL表达式基础语法的Demo联系~ OGNL表达式基础语法Demo1、OGNL表达式基础语法Demo1.1、Demo1:读取Root中的数据Demo2:读取Context中的数据Demo3:给Root、Context中的对...
什么是OGNL表达式
༺清风暖云༻
12-13 1276
struts2框架中使用的表达式并不是EL表达式,不是不能用,而是struts2有自己的一套御用的表达式字就叫OGNL表达式,本章节就此表达式进行初步的学习,下一章节才会对OGNL表达式进行Demo练习~ OGNL表达式(一)1、何为OGNL表达式1.1、简单描述1.2、OGNL介绍1.3、使用OGNL准备1.4、OGNL代码展示1.5、OGNL表达式的书写《END》 1、何为OGNL表达...
Struts2中存在的并发问题(个人记录)。
qq_31896043的博客
10-14 2791
我最近在做项目的时候遇到一个问题: 查询出来的数据是有权限判断的 我换台电脑去查询 权限是可以判断出来的 但是在上台电脑查询的缓存 缺出现了这台电脑上 当是以为是session缓存 等 没有搞清楚最后我考虑到了并发这个事件上 以为用线程锁Synchronized可以解决这个问题 由于框架是Struts2的 我在action中加了线程锁并没有用由于是职场新人 很多东西都不是
Struts2学习笔记(6)-异常处理
MasterSpecter的博客
11-24 256
一、异常 异常指的是在程序运行过程中发生的异常事件,通常是由硬件问题或者程序设计问题所导致的。在Java等面向对象的编程语言中异常属于对象。 二、Struts2异常处理:exception-mapping元素Struts2提供了一种机制能把你在动作类里未能捕获的异常一网打尽:在配置文件里使用exception-mapping元素。 exception-mapping元素,有以下属性: exc
struts2的多线程访问问题(特定参数下只能串行访问action)
活着 就好好的活着
08-24 2709
以前一直都是理所当然的认为浏览器发起一个请求到后台action,肯定是创建一个新线程并创建一个新类来为这个请求服务,其中的想法也比较混乱却没有理会。 直到近期遇到了一个新的需求要做高并发的时候抢购一个物品,就想怎么样给action加一个synchronized同步一下,这时候问题就来了! 1.action收到请求后是用同一个线程进行提供服务呢还是每次都新建一个线程? 2.web服务器收到请求
OGNL表达式注入漏洞要成为过去了吗?
u013224189的专栏
07-18 8545
起因 Struts2今年来爆出一系列安全漏洞,以至于在官方release页面,还专门罗列了各个版本对应的CVE漏洞,也算是一大奇观。 ![struts_release](https://img-blog.csdn.net/20180716180339458?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTMyMjQxODk=/font/5a6...
墨者Apache Struts2远程代码执行漏洞(S2-037)复现题解
zr1213159840的博客
01-15 861
也还是继续找poc,我们使用以下poc #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#process=@java.lang.Runtime@getRuntime().exec(#parameters.command[0]),#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()),@org.apache.commons.io.IOUtils@
Java培训 | 服务攻防之框架Struts2
weixin_45695430的博客
06-30 1688
Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小_java培训。...
Strust2远程代码执行漏洞S2-033)利用分析
煜铭2011
06-14 4299
5月12日,Struts官方发布安全公告称,Apache Strut2 REST插件存在漏洞,可以远程执行任意指令,该漏洞编号为S2-033(CVE-2016-3087 ),公告详情如下: 启明星辰ADLab通过分析发现,该漏洞依附于前一段时间闹得沸沸扬扬的S2-032漏洞,Struts官方发布的S2-033安全公告只是针对性地对REST插件功能存在的安全问题进行补充,其漏洞技术
S2-048远程执行代码漏洞
江小白
07-20 712
受影响的版本:2.0.0 - 2.3.32 利用 这个环境是一个struts-2.3.32展示,在tomcat-8.5中。环境运行后,访问http://your-ip:8080/showcase/以查看struts2 showcase。 Access Integration / Struts 1集成: OGNL表达式漏洞位置是Gangster Name表单。 输入${233*233}...
struts2Ognl的封装--MemberAccess
java12345678
03-19 1227
Ognl的扩展点: http://java12345678.iteye.com/blog/2031790   MemberAccess接口  定义了对于Memeber(Constructor,Method,Filed是否可以访问),Ognl默认实现DefaultMemberAccess对非公有Member不可以访问。  Struts2对DefaultMemberAccess进行了扩展...
Struts2 s2-032漏洞详解:远程代码执行风险与绕过策略
Struts2 s2-032远程代码执行漏洞分析1 Struts2是Java开发中常用的Web应用程序框架,作为Struts框架的下一代版本,它继承了Struts1和WebWork的核心技术,但采用了全新的拦截器架构,使业务逻辑控制器与Servlet API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值