Struts2远程代码执行(S2-057)漏洞分析

github上进行Tag对比。

Struts2远程代码执行(S2-057)漏洞分析

分析patch,定位 问题点 。

Struts2远程代码执行(S2-057)漏洞分析

环境搭建

根据漏洞作者的博客描述,直接使用Struts2-2.3.34的showcase项目,修改struts-actionchaining.xml。

Struts2远程代码执行(S2-057)漏洞分析

使用${1+1}验证漏洞存在。

Struts2远程代码执行(S2-057)漏洞分析

漏洞分析

DefaultActionMapper 调用 parseNameAndNamespace() 解析 namespacename 。当 alwaysSelectFullNamespacetrue 时, namespace 的值可以通过URL控制。

Struts2远程代码执行(S2-057)漏洞分析

Action执行结束时,调用 ServletActionRedirectResult.execute() 进行重定向Result的解析,通过 ActionMapper.getUriFromActionMapping() 重组 namespacename 后,由 setLocation() 将带 namespacelocation 放入父类 StrutsResultSupport 中。

Struts2远程代码执行(S2-057)漏洞分析

StrutsResultSupport 拿到 location 后,通过 TextParseUtil.translateVariables() 调用 OgnlTextParser.evaluate() 解析执行URL中的OGNL表达式,导致代码执行。

Struts2远程代码执行(S2-057)漏洞分析

利用条件

最小条件:

  1. alwaysSelectFullNamespace 值为 true
  2. Struts2配置文件中, action 元素未设置 namespace 属性,或使用了通配符

漏洞场景:

  • 在Struts2配置文件中,对未正确配置的action元素提供如下三类返回元素:
    1. Redirect Action
    2. Action Chaining
    3. Postback Result

Struts2远程代码执行(S2-057)漏洞分析

  • 在模板中使用url元素标记:

Struts2远程代码执行(S2-057)漏洞分析 Struts2远程代码执行(S2-057)漏洞分析

构造PoC

使用Struts2老版本的PoC无法正常弹出计算器,会在获取 #context 时得到 null 值,导致 ['com.opensymphony.xwork2.ActionContext.container'] 求值时的 source 为空,抛出异常。

通过跟踪OGNL底层代码发现,在比较新的版本的OGNL包中, OgnlContext 移除了 CONTEXT_CONTEXT_KEYCLASS_RESOLVER_CONTEXT_KEYMEMBER_ACCESS_CONTEXT_KEY ,使OGNL表达式无法继续使用 #context#_classResolver#_memberAccess 来获得相应对象。

Struts2远程代码执行(S2-057)漏洞分析 Struts2远程代码执行(S2-057)漏洞分析

获取不到 context 就无法进行后续Struts2的沙盒绕过。通过分析,发现在 #request 域下的 struts.valueStack 对象中存在 context 属性,因此对S2-045的Payload进行一下简单改造即可。

Struts2远程代码执行(S2-057)漏洞分析

成功弹出计算器。

Struts2远程代码执行(S2-057)漏洞分析

另外,由于Struts2.5中,几个excluded的map使用的是immutable collection,不允许修改,因此该PoC只适用于Struts2.3环境。 (2.5可以尝试使用 setXXX() 覆盖map值。)

再多说一嘴,Struts2的showcase项目没有通过大家知道的 struts.mapper.alwaysSelectFullNamespace 配置项控制 alwaysSelectFullNamespace 的值,而是通过 @Inject 进行了IoC。

原文 

https://gyyyy.github.io/2018/08/23/apache-struts2-s2-057-rce/

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » Struts2远程代码执行(S2-057)漏洞分析

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址