基于Struts（S2-048）漏洞的復(fù)現(xiàn)與分析獲獎科研報告

基于Struts（S2-048）漏洞的復(fù)現(xiàn)與分析獲獎科研報告摘

要：文章介紹了Struts2.3.x系列中Struts2-048號漏洞的背景、漏洞影響、對于漏洞的分析和漏洞復(fù)現(xiàn)的操作示例。為了了解在漏洞暴露而且被利用時對于企業(yè)利益的嚴(yán)重危害，本文通過在Struts2.3.x系列其中的Struts2.3.32的showcase應(yīng)用中演示對Struts2整合Struts1的插件中存在一處任意代碼執(zhí)行漏洞的攻擊行為并且從Struts（Struts2-048）遠(yuǎn)程命令執(zhí)行漏洞還原的過程中，分析出漏洞產(chǎn)生原因是由于啟用了插件struts2-struts1-plugin而且在其插件內(nèi)部（struts2-struts1-plugin-2.3.x.jar）中的代碼存在不受信任的輸入并傳入到ActionMessage類中導(dǎo)致惡意命令執(zhí)行的過程。在漏洞問題下羅列出現(xiàn)有的解決方案，并簡述其補救措施和其他相關(guān)技術(shù)概念。從而表明了該漏洞的危害性和需盡快修復(fù)的緊急程度。

關(guān)鍵詞：Struts2漏洞;Struts2;S2-048;OGNL;Webwork

1

原理技術(shù)概要

1.1Webwork

它是Struts系列的前身，來源于一個開源組織opensymphony，且是從Xwork項目的基礎(chǔ)上發(fā)展而來，Webwork簡潔且功能強大，完全從web層脫離，它提供了包括前端攔截、表單屬性驗證、類型轉(zhuǎn)換以及強大的表達式語言O(shè)GNL等核心功能。Webwork在處理http請求和響應(yīng)時使用ServletDispatcher將http請求轉(zhuǎn)化為業(yè)務(wù)層、會話層和應(yīng)用層范圍的映射，請求參數(shù)映射為Webwork2支持的多視圖表示，視圖部分可以使用JSP、Velocity、FreeMarker、JasperRepots、XML等。

1.2Struts2

Struts2架構(gòu)繼承了Webwork的架構(gòu)流程，而并未沿用Struts1的設(shè)計核心，但從處理流程上看，Struts2還是以控制器為重點，包括核心控制器和業(yè)務(wù)邏輯控制器。

處理流程簡述為：客戶端提交一個HttpServletRequest請求，接著請求被提交到一系列的過濾器，然后經(jīng)過FilterDispatcher時會詢問ActionMapper是否需要調(diào)用某個Action來處理這個請求，如果ActionMapper決定需要調(diào)用某個Action，F(xiàn)ilterDispatcher則把請求的處理交給ActionProxy。

ActionProxy通過ConfigurationManager向文件struts.xml查詢框架的配置文件，找到需要調(diào)用的Action類。ActionProxy創(chuàng)建一個ActionInvocation實例，同時ActionInvocation通過代理模式調(diào)用Action。但在調(diào)用之前，ActionInvocation會根據(jù)配置加載Action相關(guān)的所有Interceptor。

Action執(zhí)行完畢后，ActionInvocation負(fù)責(zé)根據(jù)struts.xml中的配置找到對應(yīng)的返回結(jié)果result。

1.3OGNL

OGNL是Object-GraphNavigationLanguage的縮寫，它是一種功能強大的表達式語言，通過它簡單一致的表達式語法，可以存取對象的任意屬性，調(diào)用對象的方法，遍歷整個對象的結(jié)構(gòu)圖，實現(xiàn)字段類型轉(zhuǎn)化等功能。它使用相同的表達式去存取對象的屬性。這樣可以更好的取得數(shù)據(jù)。

Webwork2和現(xiàn)在的Struts2.x系列中使用OGNL取代原來的EL來做界面數(shù)據(jù)綁定，所謂界面數(shù)據(jù)綁定，也就是把界面元素（例如一個textfield，hidden）和對象層某個類的某個屬性綁定在一起，修改和顯示自動同步。

2

漏洞復(fù)現(xiàn)和分析

2.1復(fù)現(xiàn)環(huán)境準(zhǔn)備和工具介紹

步驟1：準(zhǔn)備Struts2.3.x的項目文件;步驟2：部署showcase和MAVEN并啟動項目;步驟3：準(zhǔn)備exp漏洞利用shell腳本或者poc，下載地址為：。步驟4：在虛擬機驗證漏洞。

2.2漏洞復(fù)現(xiàn)和分析

（1）漏洞分析

漏洞產(chǎn)生的原因是在struts2-struts1-plugin包中Struts1Action.java中execute函數(shù)調(diào)用了getText函數(shù)，這個函數(shù)會執(zhí)行OGNL表達式，更加增大該漏洞級別的是getText的輸入內(nèi)容還是攻擊者可控的，即可以構(gòu)造后臺服務(wù)器的執(zhí)行指令通過該方法去執(zhí)行，相當(dāng)于直接使用后臺服務(wù)器賬號直接登入執(zhí)行命令操作。

（2）漏洞復(fù)現(xiàn)

開啟showcase服務(wù)并啟動虛擬機，發(fā)送exp的shell腳本到虛擬機中，打開命令行先ping一下與部署應(yīng)用的主機網(wǎng)絡(luò)，無異常則執(zhí)行exp腳本。依次輸入3，http：//：8080/integration/saveGangster.action，ipconfig這三個參數(shù)。結(jié)果如圖1：

第一個參數(shù)3代表選擇驗證第三個漏洞Struts2-048;第二參數(shù)是一個鏈接，代表著你想驗證的showcase應(yīng)用的訪問地址;第三個參數(shù)為注入的執(zhí)行命令，可以寫如ipconfig，netstat-ano等windows命令。執(zhí)行腳本后發(fā)現(xiàn)部署著showcase應(yīng)用的服務(wù)器的IP，網(wǎng)關(guān)等信息全都顯示出來。是一個十分危急的漏洞，需要盡快修復(fù)。

3結(jié)論

本文在簡單介紹Struts2框架的基本概念和知識之后，基于Struts2框架存在的各類缺陷和漏洞，以及各類web開發(fā)框架被廣泛應(yīng)用的事實，對應(yīng)用程序開發(fā)使用Struts2開發(fā)框架的