Struts2(s2-016)远程代码执行漏洞详细代码分析

最新推荐文章于 2022-12-21 17:25:47 发布
最新推荐文章于 2022-12-21 17:25:47 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: 框架 文章标签: 漏洞 Struts2

  之前 winwin 已经发过这个漏洞的分析文章,分析的很到位,不过有几个点有些问题,所以我在这里把自己的分析内容发出来,供各位参考。

  这个漏洞的数据污染点和触发点,和其他的 Struts 不一样,所以本篇分析将从 Struts 执行流程中剖析此漏洞。在 Struts2.3 以后,官方将原有的起始过滤器换为:org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter.class

  所以我们此次跟踪的第一个断点便下在这个类的 doFilter 方法中,代码如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
    try {
        prepare.setEncodingAndLocale(request, response);
        prepare.createActionContext(request, response);
        prepare.assignDispatcherToThread();
        if (excludedPatterns != null && prepare.isUrlExcluded(request, excludedPatterns)) {
            chain.doFilter(request, response);
        } else {
            request = prepare.wrapRequest(request);
            ActionMapping mapping = prepare.findActionMapping(request, response, true);
            if (mapping == null) {
                boolean handled = execute.executeStaticResourceRequest(request, response);
                if (!handled) {
                    chain.doFilter(request, response);
                }
            } else {
                execute.executeAction(request, response, mapping);
            }
        }
    } finally {
        prepare.cleanupRequest(request);
    }
}
通过第 12 行获取当前访问的 action 映射,下面我们来看 PrepareOperations 类中的 findActionMapping 方法: 

public ActionMapping findActionMapping(HttpServletRequest request, HttpServletResponse response, boolean forceLookup) {
    ActionMapping mapping = (ActionMapping) request.getAttribute(STRUTS_ACTION_MAPPING_KEY);
    if (mapping == null || forceLookup) {
        try {
           mapping = dispatcher.getContainer().getInstance(ActionMapper.class).getMapping(request, dispatcher.getConfigurationManager());
            if (mapping != null) {
                request.setAttribute(STRUTS_ACTION_MAPPING_KEY, mapping);
            }
        } catch (Exception ex) {
            dispatcher.sendError(request, response, servletContext, HttpServletResponse.SC_INTERNAL_SERVER_ERROR, ex);
        }
    }
    return mapping;
}
跟进至第 5 行,这句代码通过调用 DefaultActionMapper 类的 getMapping 方法来获取 action 映射,我们继续跟进到这个方法: 

public ActionMapping getMapping(HttpServletRequest request, ConfigurationManager configManager) {
    ActionMapping mapping = new ActionMapping();
    String uri = getUri(request);
    int indexOfSemicolon = uri.indexOf(";");
    uri = (indexOfSemicolon > -1) ? uri.substring(0, indexOfSemicolon) : uri;
    uri = dropExtension(uri, mapping);
    if (uri == null) {
        return null;
    }
    parseNameAndNamespace(uri, mapping, configManager);
    handleSpecialParameters(request, mapping);
    return parseActionName(mapping);
}
第 11 行代码用于处理特殊参数,本漏洞的触发点 redirect 就属于它处理的内容,下面我们来看下它的代码: 

public void handleSpecialParameters(HttpServletRequest request, ActionMapping mapping) {
    // handle special parameter prefixes.
    Set<String> uniqueParameters = new HashSet<String>();
    Map parameterMap = request.getParameterMap();
    for (Object o : parameterMap.keySet()) {
        String key = (String) o;
        // Strip off the image button location info, if found
        if (key.endsWith(".x") || key.endsWith(".y")) {
            key = key.substring(0, key.length() - 2);
        }
        // Ensure a parameter doesn't get processed twice
        if (!uniqueParameters.contains(key)) {
            ParameterAction parameterAction = (ParameterAction) prefixTrie.get(key);
            if (parameterAction != null) {
                parameterAction.execute(key, mapping);
                uniqueParameters.add(key);
                break;
            }
        }
    }
}
继续跟着流程走,第 15 行代码之前的操作是从用户传入的参数中提取特殊参数,第 15 行则是针对这个参数进行处理的地方。DefaultActionMapper 类针对四种不同的特殊参数,分别定义了不同的 execute 方法,这里我们只看处理 redirect 参数的方法,看下它的代码: 

public void execute(String key, ActionMapping mapping) {
     ServletRedirectResult redirect = new ServletRedirectResult();
     container.inject(redirect);
     redirect.setLocation(key.substring(REDIRECT_PREFIX.length()));
     mapping.setResult(redirect);
}
代码比较简单,就是新建一个 ServletRedirectResult 对象,将用户输入的参数值插入到它的 Location 属性中,最后将这个对象覆盖掉映射的 result 属性。
  问题的关键点就在这个 result 属性中,Struts 在处理 action 后,返回的内容都是依赖 result 属性中的内容。平常这个属性都是通过配置文件来设置的,但是在这里,用户可以通过 redirect 来控制这个属性的内容。而且,用来解析返回内容的 conditionalParse 方法使用了 translateVariables 方法处理参数,这个方法会将其参数作为 Ognl 表达式执行,从而导致此漏洞的触发。conditionalParse 方法代码如下: 

protected String conditionalParse(String param, ActionInvocation invocation) {
    if (parse && param != null && invocation != null) {
        return TextParseUtil.translateVariables(param, invocation.getStack(), new TextParseUtil.ParsedValueEvaluator() {
            public Object evaluate(String parsedValue) {
                if (encode) {
                    if (parsedValue != null) {
                        try {
                            // use UTF-8 as this is the recommended encoding by W3C to
                            // avoid incompatibilities.
                            return URLEncoder.encode(parsedValue, "UTF-8");
                        }
                        catch(UnsupportedEncodingException e) {
                            if (LOG.isWarnEnabled()) {
                                LOG.warn("error while trying to encode ["+parsedValue+"]", e);
                            }
                        }
                    }
                }
                return parsedValue;
            }
        });
    } else {
        return param;
    }
}
差不多就这些,应该够详细了。 

本文已经过重新排版。

转载自:http://www.2cto.com/Article/201307/230083.html

excite
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029远程代码执行漏洞初探1
struts2反序列化漏洞,存在s2-005、s2-016s2-016_3、s2-017
08-28
struts2.0反序列化漏洞,存在s2-005、s2-016s2-016_3、s2-017等漏洞解决方案,已升级可用
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
0、这是一个简单、暴力、治根的补漏方法 1、struts2漏洞s2-045,不升级jar版本的修补方法,已验证
Struts2远程代码执行漏洞分析S2-013)1
08-08
Struts2远程代码执行漏洞分析S2-013)1
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
04-26
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apach e.struts/struts2-spring-plugin/2.3.32
S2-016/017漏洞工具 struts漏洞
02-26
本工具可以详细测试S2-016/017漏洞的资源,有助于您更深层的了解struts!
Struts2漏洞复现
weixin_51151498的博客
12-14 1114
Struts2漏洞复现
buuctf [struts2]s2-016
qq_1873822的博客
03-17 481
漏洞原理 DefaultActionMapper类支持以"action:"、“redirect:”、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令 https://blog.csdn.net/u011721501/article/details/41735885 任意命令执行 index.action?redirect:%24%7B%23context%5.
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 2103
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts2 高危漏洞修复方案 (S2-016/S2-017)
热门推荐
Mydwr的专栏
01-24 1万+
http://software.intel.com/zh-cn/blogs/2013/08/08/struts2-s2-016s2-017/?utm_campaign=CSDN&utm_source=intel.csdn.net&utm_medium=Link&utm_content=others-%20Struts2 近期Struts2被曝重要漏洞,此漏洞影响strut
Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁
07-25
struts.xml文件中新增以下内容: struts2_s2-016&017_patch.jar拷贝到lib目录下。 ognl-2.6.11.jar直接覆盖掉原有文件。 使用工具进行测试漏洞是否依然存在。 2013年7月25日
s2-016-exp:S2-016 漏洞利用&&扫描器
06-19
s2-016-exp S2-016 Exploit && Scanner 1、s2_016.py 文件 这是针对S2-016的exploit程序,使用前先搭建Python运行环境,具体网上搜索即可。 使用方法: python s2-016.py [target_url] [filename of a webshell] [shellname at remote host] 例子: [+]目标: 当前路径下有名为webshell.jsp的木马 [+]命令行执行:python s2-016.py webshell.jsp system.jsp 目标是www.xxoo.com,要传上去的webshell名字是webshell.jsp(放在当前路径下),system.jsp是传到远程服务器上时,在服务器端的名字 一旦攻击成功,那么就访问 2、Struts2Scanner.py s2_016漏洞
S2-016漏洞利用工具
05-03
S2-016的检测和利用
struts2-016/017漏洞解决
03-21
在不升级原框架的基础上解决漏洞
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
S2-052远程代码执行漏洞
07-27
S2-052远程代码执行漏洞是Apache Struts 2框架中的一个安全漏洞,影响版本为2.0.0至2.5.12。该漏洞允许攻击者通过构造恶意的OGNL(Object-Graph Navigation Language)表达式,远程执行任意代码。 攻击者可以通过发送恶意的HTTP请求,利用漏洞执行任意的代码,可能导致服务器被完全控制。此漏洞的危害性较高,因此建议尽快升级到修复该漏洞的版本,或者应用相关的安全补丁。 如果你是开发者或系统管理员,请确保你的应用程序使用的是修复了该漏洞的Apache Struts 2版本,并及时关注相关安全公告以保持系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值