声明php
因为传播、利用此文所提供的信息而形成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章做者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等所有内容。未经雷神众测容许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。html
前言mysql
Smi1e@Pentes7eamc++
漏洞信息:git
https://cwiki.apache.org/confluence/display/WW/S2-059github
Struts2 会对某些标签属性(好比 id,其余属性有待寻找) 的属性值进行二次表达式解析,所以当这些标签属性中使用了 %{x} 且 x 的值用户可控时,用户再传入一个 %{payload} 便可形成OGNL表达式执行。web
漏洞复现sql
本次漏洞复现使用的是S2-045时搭建的漏洞环境,不一样环境可能须要使用不一样的payload绕过沙盒。影响版本写的是到 Struts 2.5.20 ,可是 2.5.16 以后的沙盒依然没有公开绕过方法。
影响范围
Struts 2.0.0 - Struts 2.5.20
漏洞分析
调用栈
jsp文件
<%@ page contentType="text/html; charset=UTF-8"%>
<%@ taglib prefix="s" uri="/struts-tags"%>
<html>
<head>
<title>Hello World</title>
</head>
<body>
<s:a id="%{payload}">testurl</s:a>
</body>
</html>
根据漏洞详情,能够知道问题出如今标签解析时,所以咱们从 org.apache.struts2.views.jsp.ComponentTagSupport 的 doStartTag 方法开始跟进,这里会对jsp标签进行解析,标签不一样 this 对应的标签对象也不一样,全部的标签对象在 org.apache.struts2.views.jsp 包下。这里是 <s:a> 标签,对应 org.apache.struts2.views.jsp.ui.AnchorTag 。
跟进 this.populateParams() ,也就是 AnchorTag 的 populateParams 方法,该方法是用来对标签属性进行赋值的。不一样的标签赋值的属性也不一样。
父类和子类赋值的属性不一样,存在 populateParams 方法的子类标签都会调用父类的 populateParams 方法,所以父类赋值的是通用的标签属性,setID 就在这里。
所以咱们也能够知道 org.apache.struts2.views.jsp.ui.AbstractUITag 存在 populateParams 方法的子类标签的id属性都受影响。
跟进 setID ,这里会进入 findString
继续跟进 findString ,看到了熟悉的 TextParseUtil.translateVariables 。前提须要开启 altSyntax 功能,altSyntax 是默认开启的,以及 ComponentUtils.containsExpression 须要返回true。
ComponentUtils.containsExpression 会判断是否包含${ 和 }
最终会执行到 com.opensymphony.xwork2.util.OgnlTextParser#evaluate ,低版本在 com.opensymphony.xwork2.util.TextParseUtil#translateVariables,其实也就是S2-001的流程,这里不过多解释,细节能够看安恒信息安全研究院公众号以前的Struts2漏洞分析文章。
最终会在下面执行OGNL表达式解析,返回咱们给 action 传入的参数 %{1+1}
在S2-001时对此方法进行了修复,加了一个 maxLoopCount 参数来限制递归解析的次数,这里的 maxLoopCount 是1所以咱们只能执行一次表达式解析。
不过回到 doStartTag ,跟进 a 标签对象的 start 方法
一直跟到 org.apache.struts2.components.ClosingUIBean#start ,这里有个 evaluateParams 方法,该方法应该是对属性值中的表达式进行解析的。
跟进其中的 this.populateComponentHtmlId(form)
能够看到这里会对id属性再次进行表达式解析,前提依然是须要开启了 altSyntax 功能
进入 findString 以后的流程就和前面的同样了。
须要注意的是表达式必须为 %{} ,${} 是不行的,而网上传的() 包裹的poc不知道是从哪里来的。
固然不光id属性,其余的属性也都会在 evaluateParams 方法中进行一次表达式解析。
所以能够找找存在漏洞的标签属性还有哪些,id属性能够是由于他的setID方法中多了一个 findString 表达式解析的操做,UIBean 的其余 set 方法是没有这个操做的。
不过咱们能够看看 org.apache.struts2.views.jsp 下其余标签对象 populateParams 方法中的属性赋值操做,看看还有没有set方法对属性值进行了一次表达式解析便可。
漏洞危害方面,该漏洞的利用须要结合应用程序的代码实现,故攻击者可能在拥有源代码的状况下进行分析与利用。
漏洞前置条件
一、须要开启 altSyntax 功能
二、须要特定标签id属性(其余属性有待寻找)中存在表达式 %{x} 且 x 为用户可控且未通过安全验证,好比 x 为 action 中的属性值。
漏洞检测与防护
·升级Struts2 到2.5.22版本;
·经过安恒信息相关产品对该漏洞检测与防护;
招聘
安恒雷神众测SRC运营(实习生)
————————
【职责描述】
1. 负责SRC的微博、微信公众号等线上新媒体的运营工做,保持用户活跃度,提升站点访问量;
2. 负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工做,促进审核人员与白帽子之间友好协做沟通;
3. 参与策划、组织和落实针对白帽子的线下活动,如沙龙、发布会、技术交流论坛等;
4. 积极参与雷神众测的品牌推广工做,协助技术人员输出优质的技术文章;
5. 积极参与公司媒体、行业内相关媒体及其余市场资源的工做沟通工做。
【任职要求】
1. 责任心强,性格活泼,具有良好的人际交往能力;
2. 对网络安全感兴趣,对行业有基本了解;
3. 良好的文案写做能力和活动组织协调能力。
4. 具有美术功底、懂得设计美化等
简历投递至 strategy@dbappsecurity.com.cn
设计师(实习生)
————————
【职位描述】
负责设计公司平常宣传图片、软文等与设计相关工做,负责产品品牌设计。
【职位要求】
一、从事平面设计相关工做1年以上,熟悉印刷工艺;具备敏锐的观察力及审美能力,及优异的创意设计能力;有 VI 设计、广告设计、画册设计等专长;
二、有良好的美术功底,审美能力和创意,色彩感强;精通photoshop/illustrator/coreldrew/等设计制做软件;
三、有品牌传播、产品设计或新媒体视觉工做经历;
【关于岗位的其余信息】
企业名称:杭州安恒信息技术股份有限公司
办公地点:杭州市滨江区安恒大厦19楼
学历要求:本科及以上
工做年限:1年及以上,条件优秀者可放宽
简历投递至 strategy@dbappsecurity.com.cn
岗位:红队武器化Golang开发工程师
薪资:13-30K
工做年限:2年+
工做地点:杭州(总部)
【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。
【岗位要求】
1.掌握C/C++/Java/Go/Python/JavaScript等至少一门语言做为主要开发语言;
2.熟练使用Gin、Beego、Echo等经常使用web开发框架、熟悉MySQL、Redis、MongoDB等主流数据库结构的设计,有独立部署调优经验;
3.了解docker,能进行简单的项目部署;
3.熟悉常见web漏洞原理,并能写出对应的利用工具;
4.熟悉TCP/IP协议的基本运做原理;
5.对安全技术与开发技术有浓厚的兴趣及热情,有主观研究和学习的动力,具有正向价值观、良好的团队协做能力和较强的问题解决能力,善于沟通、乐于分享。
【加分项】
1.有高并发tcp服务、分布式、消息队列等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具有良好的英语文档阅读能力。
简历投递至 strategy@dbappsecurity.com.cn
安全招聘
————————
公司:安恒信息
岗位:Web安全 安全研究员
部门:战略支援部
薪资:13-30K
工做年限:1年+
工做地点:杭州(总部)、广州、成都、上海、北京
工做环境:一座大厦,健身场所,医师,帅哥,美女,高级食堂…
【岗位职责】
1.按期面向部门、全公司技术分享;
2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀;
3.负责完成部门渗透测试、红蓝对抗业务;
4.负责自动化平台建设
5.负责针对常见WAF产品规则进行测试并落地bypass方案
【岗位要求】
1.至少1年安全领域工做经验;
2.熟悉HTTP协议相关技术
3.拥有大型产品、CMS、厂商漏洞挖掘案例;
4.熟练掌握php、java、asp.net代码审计基础(一种或多种)
5.精通Web Fuzz模糊测试漏洞挖掘技术
6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法
7.有过独立分析漏洞的经验,熟悉各类Web调试技巧
8.熟悉常见编程语言中的至少一种(Asp.net、Python、php、java)
【加分项】
1.具有良好的英语文档阅读能力;
2.曾参加过技术沙龙担任嘉宾进行技术分享;
3.具备CISSP、CISA、CSSLP、ISO2700一、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者;
4.具备大型SRC漏洞提交经验、得到年度表彰、大型CTF夺得名次者;
5.开发过安全相关的开源项目;
6.具有良好的人际沟通、协调能力、分析和解决问题的能力者优先;
7.我的技术博客;
8.在优质社区投稿过文章;
岗位:安全红队武器自动化工程师
薪资:13-30K
工做年限:2年+
工做地点:杭州(总部)
【岗位职责】
1.负责红蓝对抗中的武器化落地与研究;
2.平台化建设;
3.安全研究落地。
【岗位要求】
1.熟练使用Python、java、c/c++等至少一门语言做为主要开发语言;
2.熟练使用Django、flask 等经常使用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案;
3:熟悉域安全以及内网横向渗透、常见web等漏洞原理;
4.对安全技术有浓厚的兴趣及热情,有主观研究和学习的动力;
5.具有正向价值观、良好的团队协做能力和较强的问题解决能力,善于沟通、乐于分享。
【加分项】
1.有高并发tcp服务、分布式等相关经验者优先;
2.在github上有开源安全产品优先;
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先;
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先;
5.具有良好的英语文档阅读能力。
简历投递至 strategy@dbappsecurity.com.cn
专一渗透测试技术
全球最新网络攻击技术
END
本文分享自微信公众号 - 雷神众测(thorsrc)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。