漏洞:CVE-2021-31805——升级struts版本2.0.6-2.5.30

已于 2022-05-07 10:46:02 修改
阅读量1.2k 收藏 5
点赞数 1
分类专栏: sruts2漏洞修复 文章标签: java struts2
于 2022-04-28 17:38:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49439135/article/details/124479213
版权

漏洞:CVE-2021-31805——升级struts版本2.0.6-2.5.30

漏洞描述

Apache struts2部分版本存在漏洞,对不受信任的用户输入使用强制OGNL可能导致远程代码执行,黑客可利用该漏洞控制服务器。

一、切换jar包更改配置

切换jar包:

struts2-core-2.5.30.jar
struts2-spring-plugin-2.5.30.jar
删除 xwork-2.0.4  这个包已经包含在了struts2-core-2.5.30.jar中
commons-fileupload-1.4.jar
commons-io-2.6.jar

修改web.xml配置

<filter>
		<filter-name>struts2</filter-name>
		<filter-class>
			org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter
		</filter-class>
</filter>

启动报错:java.lang.NoClassDefFoundError: org/apache/logging/log4j/LogManager

引入jar包:log4j-api-2.12.4.jar

启动报错:java.lang.NoClassDefFoundError: org/apache/commons/lang3/StringUtils

引入jar包:commons-lang3-3.8.1.jar

启动报错:java.lang.NoSuchMethodError: ognl.SimpleNode.isEvalChain(Lognl/OgnlContext;)Z

升级jar包:ognl-2.6.11.jar ---> ognl-3.1.29.jar

启动报错:java.lang.NoClassDefFoundError: freemarker/template/Version

升级jar包:freemarker-2.3.10.jar ---> freemarker-2.3.31.jar

启动报错:Caused by: java.lang.ClassNotFoundException: javassist.ClassPool

引入jar包:javassist-3.20.0-GA.jar

访问主页面报错,时而好使时而不好使

ERROR DefaultDispatcherErrorHandler Exception occurred during processing request: null
 java.lang.NullPointerException
	at com.opensymphony.xwork2.validator.DelegatingValidatorContext.makeTextProvider(DelegatingValidatorContext.java:212)
	at com.opensymphony.xwork2.validator.DelegatingValidatorContext.<init>(DelegatingValidatorContext.java:65)
	at com.opensymphony.xwork2.validator.AnnotationActionValidatorManager.validate(AnnotationActionValidatorManager.java:127)
	at com.opensymphony.xwork2.validator.AnnotationActionValidatorManager.validate(AnnotationActionValidatorManager.java:123)
	at com.opensymphony.xwork2.validator.ValidationInterceptor.doBeforeInvocation(ValidationInterceptor.java:227)

<!--修改validators.xml 的头信息-->
<!DOCTYPE validators PUBLIC
        "-//OpenSymphony Group//XWork Validator Config 1.0//EN"
        "http://www.opensymphony.com/xwork/xwork-validator-config-1.0.dtd">

---改为--->

<!DOCTYPE validators PUBLIC
        "-//Apache Struts//XWork Validator Definition 1.0//EN"
        "http://struts.apache.org/dtds/xwork-validator-definition-1.0.dtd">

如果还不好使,检查validator配置的自定义类中是否引入了某些已被删除的包

<!-- 修改struts.xml  开启允许动态方法调用  -->
<constant name="struts.enable.DynamicMethodInvocation" value="true" />

<!-- 修改struts 配置文件 -->
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
        "http://struts.apache.org/dtds/struts-2.0.dtd">
改为:
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
        "http://struts.apache.org/dtds/struts-2.5.dtd">


<!-- 修改struts 配置文件 加入配置 -->
<!--  strict-method-invocation="false" 拒绝所有未通过method属性配置或者<allowed-methods>标签标明的方法 -->
<!--  <global-allowed-methods>regex:.*</global-allowed-methods> 允许使用通配符调用方法-->
<package name="xx" extends="struts-default"  strict-method-invocation="false"  namespace="/xxx">
    <global-allowed-methods>regex:.*</global-allowed-methods>
	<action name="xxx" class="xxx" method="xxx">
			<result name="success">
				/pages/xxx/xxx.jsp
			</result>
	 </action>
</package>

如果页面访问有问题可以尝试进行下面修改


<!-- 修改web.xml -->
    <filter-mapping>
            <filter-name>struts2</filter-name>
            <url-pattern>/struts/*</url-pattern>
        </filter-mapping>
    <filter-mapping>
改为:     
	<filter-name>struts2</filter-name>
		<url-pattern>/struts/*.action</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>struts2</filter-name>
		<url-pattern>/struts/*.jsp</url-pattern>
	</filter-mapping>

菜单无法加载或显示html标签问题

<s:property value="menu" escape="false" /></td>
改为:
<s:property value="menu" escapeHtml="false" /></td>
<!--
escapeHtml默认为true, menu按照文本格式原样输出,带有标签
escapeHtml为false, menu的内容会解析为HTML内容,在显示的时候有换行效果
-->

二、页面标签修改

两个版本的ognl标签有很多改动,需要调整页面

<!--没什么用暂时删掉-->
<%@page import="org.apache.derby.impl.sql.catalog.SYSCHECKSRowFactory"%>

常用标签用法

<s:hidden name="editType" id="editType" value="%{editType}"></s:hidden>

<!--grade.id 后面不要加空格,否则生成的id会多一个下划线-->
<s:hidden name="grade.id"/> 

<s:if test="editType=='insert'"></s:if>

<s:if test="%{editType=='insert' }"></s:if>
    
<c:if test="${editType=='insert' }"></c:if>

<c:set var="index" value="0" />
    <s:if test="%{index+1==1}">不好使</s:if>   
    <a href="#tab${index+1 }"/>
    <div id="tab${indexi+1 }"></div>
    <iframe id="taskIframe${indexi+1 }"></iframe>
<c:set var="index" value="${index+1 }" />

<s:set var="index" value="0"/>
    <div style="display: none">${index+1 }</div>
    <s:property value='%{#index + 1}' />
<s:set var="index" value="%{#index+1 }" />

<s:iterator value="systemMap.keySet()" id="system">   
--改为-->  
<s:iterator value="systemMap.keySet()" var="system">
    
<s:iterator value="systemTasks" status="stuts">
    <!--id 复制拼接-->
    <div id="tab<s:property value="#stuts.count" />"></div>
    
    <s:hidden name="userGrades[%{#stuts.index}].gradeCode" value="%{#aaa.gradeCode}" /></td>
    
	<s:if test="%{#stuts.index +1 ==1 }"></s:if>
    
	      <s:property value="%{systemTasks[#stuts.index].taskCName}" />
    	  <iframe id="taskIframe%{#stuts.index + 1 }" 
                  src="${ctx}/xxxx/xxxx.do?xxx=<s:property value="%{xxx[#stuts.index].xxx}"/>
                       &editType=${editType}&gradeID=${grade.id}" 
                  frameborder="0" width="100%" height="580"></iframe>
    
</s:iterator>

<s:iterator 中的status 使用方法

<s:iterator 中的status 使用方法

1:#status.odd 是否奇数行

2:#status.count 当前行数

3:#status.index 当前行的序号,从0开始『#status.count=#status.index+1』

4:#status.first 是否第一行

5:#status.last 是否最后一行

6:#status.modules(int) 当前行数取模

三、异常原因分析

ERROR DefaultDispatcherErrorHandler Exception occurred during processing request: null

跟源码发现:AnnotationActionValidatorManager中的属性textProviderFactory为null
继续跟进发现:

  1. 项目启动时,strut2 使用@Inject注入依赖,而且属性注入顺序完全随机且在for循环中处理,
  2. 当某个属性注入失败时,会停止该类的属性注入,也就是说,这个类只有注入失败前的属性有值,后面的属性直接初始化为null,而且没有异常抛出
//源码:construct
class ContainerImpl implements Container {
    ...
    Object construct(InternalContext context, Class<? super T> expectedType) {
        ... 
        //injectors: @Inject注解标识的属性
        for (Injector injector : injectors) {
              injector.inject(context, t);
        }
        ...
    }
    ...
}

  1. 反复debug发现 AnnotationActionValidatorManager在 ```validatorFactory``这个属性注入时总会莫名其妙的跳出循环,开始处理加载其他类信息

  2. ValidatorFactory这个类是一个接口,只有一个实现类 DefaultValidatorFactory,这个类有个比较坑的初始化方法init

    public class DefaultValidatorFactory implements ValidatorFactory, Initializable {
    ...
    protected ValidatorFileParser validatorFileParser;
    @Override
    public void init() {
        parseValidators();
    }
    private void parseValidators() {
        ...
        // Parse default validator configurations
        String resourceName = "com/opensymphony/xwork2/validator/validators/default.xml";
        retrieveValidatorConfiguration(resourceName);

        // Overwrite and extend defaults with application specific validator configurations
        resourceName = "validators.xml";
        retrieveValidatorConfiguration(resourceName);
        ...
    }
    private void retrieveValidatorConfiguration(String resourceName) {
        InputStream is = ClassLoaderUtil.getResourceAsStream(resourceName, DefaultValidatorFactory.class);
        if (is != null) {
            validatorFileParser.parseValidatorDefinitions(validators, is, resourceName);
        }
    }
}

public class DefaultValidatorFileParser implements ValidatorFileParser {
    ...
 	public void parseValidatorDefinitions(Map<String, String> validators, InputStream is, String resourceName) {

        InputSource in = new InputSource(is);
        in.setSystemId(resourceName);

        Map<String, String> dtdMappings = new HashMap<>();
        dtdMappings.put("-//Apache Struts//XWork Validator Config 1.0//EN", "xwork-validator-config-1.0.dtd");
        dtdMappings.put("-//Apache Struts//XWork Validator Definition 1.0//EN", "xwork-validator-definition-1.0.dtd");
		/*********************/
        Document doc = DomHelper.parse(in, dtdMappings);

        if (doc != null) {
            NodeList nodes = doc.getElementsByTagName("validator");

            for (int i = 0; i < nodes.getLength(); i++) {
                Element validatorElement = (Element) nodes.item(i);
                String name = validatorElement.getAttribute("name");
                String className = validatorElement.getAttribute("class");

                try {
                    // catch any problems here
                    objectFactory.buildValidator(className, new HashMap<String, Object>(), ActionContext.getContext().getContextMap());
                    validators.put(name, className);
                } catch (Exception e) {
                    throw new ConfigurationException("Unable to load validator class " + className, e, validatorElement);
                }
            }
        }
    }
    ...
}

    1. 这个方法中加载了两个配置文件com/opensymphony/xwork2/validator/validators/default.xmlvalidators.xml

      第一个文件是jar包中自己的配置文件,没问题

      第二个文件就比较坑了,他在系统的resources目录下查找文件,找到则加载

      因为我的文件是老版本的配置文件,因此在Document doc = DomHelper.parse(in, dtdMappings);这一步格式化时,格式化报错了,这个时候抛出一个有意思的异常java.net.ConnectException: Connection timed out: connect

      接着一路上抛,在这个位置打印了一个LOG.warn, 而我的后台风平浪静。。。。

      public class InterceptorBuilder {
    ...
    public static List<InterceptorMapping> constructInterceptorReference(InterceptorLocator interceptorLocator,
                                                                         String refName, Map<String,String> refParams, Location location, ObjectFactory objectFactory) throws ConfigurationException {
        ...
        if (referencedConfig instanceof InterceptorConfig) {
                InterceptorConfig config = (InterceptorConfig) referencedConfig;
                Interceptor inter;
                try {
                    inter = objectFactory.buildInterceptor(config, refParams);
                    result.add(new InterceptorMapping(refName, inter, refParams));
                } catch (ConfigurationException ex) {
              	    LOG.warn(new ParameterizedMessage("Unable to load config class {} at {} probably due to a missing jar, which might be fine if you never plan to use the {} interceptor",
                            config.getClassName(), ex.getLocation(), config.getName()), ex);
                }

            }
        ...
    }
    ...
}

    2. struts2-core-2.5.30版本依赖了log4j-api-2.12.4, 这与老版本的log4j-1.2.13貌似不兼容,引入log4j-core-2.12.4.jar是否会打印,有待验证,log4j-core在2.16版本前的都有漏洞,暂时不处理

    3. 对比com/opensymphony/xwork2/validator/validators/default.xmlvalidators.xml两个文件发现头部标签不一致,修改后加载正常

    4. 如果还不好使,检查validator配置的自定义类中是否引入了某些已被删除的包

蜗໌້ᮨ牛໌້ᮨ
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2目前无漏洞版本
11-14
struts2经常被发现有各种各样的漏洞,黑客会利用这些漏洞进行系统攻击,这个版本是目前已修复所有露的版本2.5.13
CVE-2021-31805|Apache Struts2远程代码执行漏洞预警
qq_18209847的博客
04-13 6121
官方描述,由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式,最终可导致远程执行任意代码。
解决struts2远程执行漏洞问题升级2.5.22版本步骤
程序员小王的博客
04-18 1369
解决struts2远程执行漏洞问题升级2.5.22版本步骤
CVE-2021-31805_Struts2-062远程代码执行漏洞复现
weixin_45715461的博客
07-05 959
CVE-2021-31805_Struts2-062远程代码执行漏洞
struts2漏洞升级2.5.30额外补充
04-21 1244
struts2漏洞 2.5.30 s:token struts.token
struts2出错java.lang.NoClassDefFoundError: org/apache/commons/lang3/StringUtils
weixin_30364147的博客
07-27 84
http://blog.csdn.net/nero_2012/article/details/7550436 转载于:https://www.cnblogs.com/yidijimao/p/5709829.html
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-27928:CVE-2021-27928 MariaDBMySQL-'wsrep provider' 命令注入漏洞
04-16
信息Exploit Title: MariaDB 10.2 /MySQL - 'wsrep_... and the wsrep patch through 2021-03-03 for MySQLTested on: LinuxCVE : CVE-2021-27928如何利用步骤1:建立反向Shell有效负载msfvenom -p linux/x64/shel
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
struts2升级2.5版本需要注意的几点
yxhxj2006的专栏
10-25 3944
最近在阿里云服务器总是受到DDOS攻击,后来发现是因为struts版本过低,导致被入侵,于是升级了一下struts版本2.5,希望可以一次性解决这个问题,下面是升级struts2.5版本的步骤: 一:替换jar包 注意:并不是图片里有的都要放到自己的项目中,自己的项目中用到了哪些,就替换掉哪些,要注意的是:如果你的项目中没有用到log4j.xml在换成2.5以后,运行t...
struts升级2.5.26遇到的各种bug及解决方案
Gzf的博客
01-08 1万+
一、背景 由于struts2自身的漏洞“【安全】关于Struts2 S2-061 远程代码执行漏洞(CVE-2020-17530)”,所以需要将struts2.3.35相关jar升级2.5.26版本。而项目本身用的是1.6或1.7的JDK,在更新过程中,遇到了许多的问题,所以将遇到的问题及解决方案总结,对JDK1.8的同学也会有帮助的。 二、2.5.26的jar包的内部代码改动 1、将xwork-core.jar整合进struts2-core-2.5.26.jar中 ...
struts2升级之后报错“java.lang.NoSuchMethodError: org.apache.commons.lang3.reflect.MethodUtils.getAnnotatio
qq_44790703的博客
08-18 2578
struts2从2.3.37升到2.5.22后报错如下: 17-Aug-2020 17:27:46.966 SEVERE [http-nio2-8083-exec-3] org.apache.catalina.core.StandardWrapperValve.invoke Servlet.service() for servlet [default] in context with path [/yizhiting] threw exception [Filter execution threw an
Struts2升级2.5.30,问题解决及过程记录
小二上酒、
05-05 3490
Struts2升级2.5.30 文章目录Struts2升级2.5.30前言一、Struts2远程漏洞描述二、本机环境描述三、问题描述及解决办法1.JDK版本需要1.7及以上2.提升Jar包版本(不仅限于截图,根据使用选择性增删)3.StrutsFilter及StrutsPrepareAndExecuteFilter包路径迁移问题4.struts.xml 文件修改5.本地项目的国际化(根据项目是否需要选择升级)6. convention.annotation.Result.name()(Found dat
Struts2升级版本2.5.30遇到的一些问题和解决方式
于采柳的博客
04-21 4437
一、背景 由于Struts2被爆出了远程执行漏洞需要升级版本2.5.30解决 目前程序使用的struts2-core版本是2.3.32,spring版本2.5.6,commons-lang3版本是3.1,jdk版本1.6 maven项目管理 二、解决方案 升级Struts2-core包版本升级jdk版本升级spring版本 升级Struts2-core包版本升级jdk版本 三、解决过程 首先在pom文件中升级Struts2-core包的版本2.5.30进行个简单的编译看有什么变化,结果
Struts2 S2-062(CVE-2021-31805)漏洞分析及复现
热门推荐
江左盟的博客
04-20 3万+
简介 2022年4月12日,Apache发布安全公告,修复了一个Apache Struts2 中的远程代码执行漏洞S2-062(CVE-2021-31805),攻击者可以利用此漏洞来控制受影响的系统。该漏洞是由于 2020 年 S2-061(CVE-2020-17530)的不完整修复造成的,当开发人员使用了 %{…} 语法进行强制OGNL解析时,仍有一些特殊的TAG属性可被二次解析,攻击者可构造恶意的OGNL表达式触发漏洞,从而实现远程代码执行。 影响范围 2.0.0 <= Apache Struts
Java项目Struts2.3.35升级2.5.30过程中遇到的问题
Raphael的博客
06-30 1601
Java项目Struts2.3.35升级2.5.30过程中遇到的问题
CVE-2021-31805
最新发布
09-02
CVE-2021-31805是一个远程命令执行漏洞,该漏洞是由于对CVE-2020-17530的修复不完整而引起的。CVE-2020-17530是由于Struts2对某些标签属性的属性值进行二次表达式解析而导致的漏洞。当这些标签属性中使用了%{x}并且x的值可被用户控制时,用户可以传入%{payload}来执行OGNL表达式。在CVE-2021-31805漏洞中,仍然存在部分标签属性会导致攻击者构造的恶意OGNL表达式执行,从而导致远程代码执行。该漏洞可能影响的版本有待进一步确认。 根据给出的引用信息,无法提供关于漏洞的具体细节或利用方式。请注意,这是一个安全漏洞,为了保护系统安全,建议及时修复该漏洞或采取相应的安全防护措施。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具](https://download.csdn.net/download/weixin_59679023/85194448)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [S2-062 远程命令执行漏洞复现(cve-2021-31805)](https://blog.csdn.net/qq_44110340/article/details/124279481)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值