Struts2

影响范围 Struts 2.3.5 – 2.3.31 Struts 2.5 – 2.5.10 漏洞类型OGNL 表达式注入 操作系统限制无 配置要求默认配置 漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测 利用原理漏洞产生主要原因是 Struts2 有一个复杂功能，给错误信息赋动态变量，构造的 payload 通过错误信息进入到动态变量，后续通过动态变量抛出报错信息同时执行敏感命令。Struts2 默认使用 Jakarta 库来解析上传文件，通过构造异常的 Content-Type，Jakarta 解析器无法识别并抛出该字符串错误，Struts2 将错误转化为可读错误提示，findText () 函数解析时候，错误信息内有 %(# 符号，识别为需要计算的表达式，OGNL 引擎解析并执行括号里面的 Java 代码，即敏感命令 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-...

影响范围 Struts 2.3 – 2.3.34 Struts 2.5 – 2.5.16 漏洞类型OGNL 表达式注入 操作系统限制无 配置要求 alwaysSelectFullNamespace 设置为 true package 标签未定义 namespace 或使用了通配符 漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测 利用原理Struts2 将 URL 路径中的 namespace 当作 OGNL 表达式，在重定向跳转时对其进行二次解析，执行敏感命令。Struts2 中的 URL 结构通常为 http://域名/命名空间/Action 名.action，如果攻击者访问不存在的命名空间，且配置了 alwaysSelectFullNamespace = true，那么会将攻击者注入的 payload 提取出来，将动态变量赋值为攻击 payload，OGNL 引擎解析命名空间时候执行了恶意 payload 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com...

影响范围 Struts 2.1.2 - 2.3.33 Struts 2.5 - 2.5.12 漏洞类型XML 反序列化 操作系统限制无 配置要求默认配置 漏洞利用写入敏感文件，反弹 shell 获取服务器权限 利用原理Struts2 框架对外部组件 XStream 插件默认使用 XStream 处理 XML 格式数据，可以将几乎任何 XML 标签映射为 Java 对象，攻击者在 Java 运行库寻找可以执行系统命令的类，由于 XStream 没有限制，攻击者可以构造特殊的 XML，包含触发点、执行链、敏感命令 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-052#拉取镜像docker-compose up -d 访问 http://公网: 8080/orders 用 burpsuite 抓取 http://公网: 8080/orders/3/edit 数据包 发送到 Repeater 模...

影响范围 Struts 2.0.0 - 2.5.29 漏洞类型OGNL 表达式注入 操作系统限制无 配置要求默认配置 漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测 利用原理Struts 内部对象虽然被锁死了，但是 Struts2 运行在 Tomcat 容器，攻击者可以利用 Tomcat 的 InstanceManager 绕过沙箱（相当于 CVE-2021-31805 是对 CVE-2020-17530 修复的绕过），InstanceManager 新建的 org.apache.commons.collections.BeanMap 对象能绕过普通权限检查，直接操作 memberAccess 的私有属性，利用 BeanMap 的 put 方法把 excludedClasses（Struts2 内部的黑名单）改为空，再通过攻击链执行敏感命令。 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/s...

影响范围 Struts 2.0.0 - 2.3.15 漏洞类型OGNL 表达式注入 操作系统限制无 配置要求默认配置 漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测 利用原理在 Struts2 中，DefaultActionMapper 类支持以” action:”、” redirect:”、” redirectAction” 作为导航或重定向过滤，在这些前缀后面可以加入 OGNL 表达式，Struts2 没有对这些前缀做过滤，可以利用 OGNL 表达式调用 Java 静态方法执行任意系统命令 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/struts2/s2-016#拉取镜像docker-compose up -d 访问 http://公网: 8080，出现 Hello world 即搭建成功 用 burpsuite 抓取 http://公网: 8080/index.action 数...

影响范围 Struts 2.3.18 - 2.3.28（不包括 2.3.20.2 和 2.3.24.2） 漏洞类型OGNL 表达式注入 操作系统限制无 配置要求默认配置 漏洞利用执行命令，可以执行各种敏感操作，例如任意文件读取，植入木马，内网探测 利用原理在配置文件 struts.xml 开启了 devMode（开发者模式），其中允许通过 method 前缀来动态执行 Action 方法。Struts2 内部存在一个安全沙盒，默认禁止执行危险的 Java 方法，为允许调用执行系统命令所需 Java 类，将上下文访问权限重置为默认，payload 片段为 #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS。权限限制接触后，攻击者通过调用 Java 环境的 Runtime 环境执行系统级别的命令，payload 片段为 @java.lang.Runtime@getRuntime ().exec(‘id’)，其中 id 可替换成其他敏感命令 漏洞复现用现成的 vulhub 来拉取镜像 123456#下载vulhub源代码g...