Struts2/XWork < 2.2.0远程执行任意代码漏洞分析及修补

 

1.exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞，此漏洞危害之大，可谓百发百中，直接root，只要采用了Struts2和webwork框架的系统（对于webwork的版本，不太清楚，我这里没环境对其一一测试，这里有二者关系的介绍），基本上无一幸免。

2.昨天在接到朋友的提醒后，迅速将公司的一些使用此框架开发的项目漏洞修补了，我想大部分大公司的也在第一时间修补的差很少了，可是仍有不少公司，没有安全团队的，估计被黑了还被蒙在鼓里，感受有必要在这里提醒下使用struts开发的朋友们，由于毕竟本身当初也作过java的开发。

3.漏洞成因在漏洞的poc中已经说的很详细了，可是都是英文的，并且对于Java不了解的人，可能会看得一头雾水，这里简单分析下，其实也是将原文粗略的翻译下了，对于其中名词不熟悉的请Google之：

Struts2的核心是使用的webwork框架，而webwork又是使用的XWork来处理action的，而且经过调用底层的getter/setter方法来处理http的参数，它将每一个http参数声明为一个ONGL（这里是ONGL的介绍）语句。当咱们提交一个http参数：

user.address.city=Bishkek&user['favoriteDrink']=kumys

ONGL将它转换为：

action.getUser().getAddress().setCity("Bishkek")

action.getUser().setFavoriteDrink("kumys")

这是经过ParametersInterceptor（参数过滤器）来执行的，使用用户提供的HTTP参数调用ValueStack.setValue()。

除了支持参数的设置和读取，ONGL支持另外的一些功能：

• 调用方法：foo()
• 调用静态方法：@java.lang.System@exit(1)
• 类的调用：new MyClass()
• 处理上下文变量：#foo = new MyClass()

因为ONGL的调用能够经过http传参来执行，为了防止攻击者以此来调用任意方法，Xwork设置了两个参数来进行防御：

• OgnlContext的属性 'xwork.MethodAccessor.denyMethodExecution'（默认为真）
• SecurityMemberAccess私有字段 'allowStaticMethodAccess'（默认为假）


为方便开发人员常常访问各类对象，XWork定义了不少预约义的上下文变量：

• #application
• #session
• #request
• #parameters
• #attr

这些变量表明各类服务器变量。为了防止攻击者篡改服务器端对象，XWork的ParametersInterceptor是不容许参数名称中有#的，大约在一年前，漏洞发现者找到了一种方法来绕过这种保护（XW-641），即经过java的unicode字符串来表示：\u0023。当时感受经过一种方法(OGNL value stack clearing)来修补是不够的，可是没有更多的时间来研究。

今年早些时候，漏洞发现者又发现了一些Xwork的一些预约义的变量：

• #context - 这个方法的可否被调用是基于OgnlContext的 'xwork.MethodAccessor.denyMethodExecution' 属性的值
• #_memberAccess - SecurityMemberAccess的'allowStaticAccess' 字段用来防止静态方法的执行
• #root
•  #this
• #_typeResolver
• #_classResolver
•  #_traceEvaluations
• #_lastEvaluation
•  #_keepLastEvaluation

使用XW-641所描述的方法，漏洞发现者经过修改一些值可以调用被保护的Java代码，而且执行任意的Java代码：

1	#_memberAccess['allowStaticMethodAccess'] = true

2	#foo = new java .lang.Boolean("false")

3	#context['xwork.MethodAccessor.denyMethodExecution'] = #foo

4	#rt = @java .lang.Runtime@getRuntime()

5	#rt.exec('mkdir /tmp/PWNED')

事实证实经过构造http请求可以调用该OGNL的表达式。这个漏洞的PoC于2010年7月12日发布。若是想测试你的应用程序是否有漏洞，可使用下面的测试代码，将会调用:java.lang.Runtime.getRuntime().exit(1)

http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.den
yMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRunti
me()))=1

4.如何修补此漏洞：

目前官方已出了补丁：http://svn.apache.org/viewvc?view=revision&revision=956389

5.快写完了，发现绿盟也将这个漏洞中文说明也发出来了，不过标题是：XWork ParameterInterceptor类绕过安全限制漏洞

严格点说，这个应该是XWork的漏洞，谁让Struts2用的是人家的核心呢？：）。

转自：http://neeao.com/archives/59/