Struts2-057 两个版本RCE漏洞分析（含EXP）

2018年8月22日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（S2-057/CVE-2018-11776），该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。
该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时，namespace值未被设置且在上层动作配置（Action Configuration）中未设置或用通配符namespace，可能导致远程代码执行。同理，url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行，经过笔者自建环境成功复现漏洞且可以执行命令回显，文末有你们想要的 !
漏洞利用
笔者搭的环境分别是Strust2 2.3.20版本和 Strust2 2.3.34版本，漏洞利用大致分为三种方式：数值计算、弹出计算器、 命令回显。
2.1 数值计算
数值计算相对最简单，在URL上指定 %{100+200} 就可以发生跳转，得到计算的结果

2.2 弹出计算器
2.3.20版本的POC如下：


2.3.3 4版本参考的POC如下：


2.3 命令回显
两个版本都是利用com.opensymphony.xwork2.dispatcher.HttpServletResponse对象去打印命令执行后的回显数据
2.3.20版本的POC如下：

2.3.34版本的POC如下：

攻击后效果如下图

漏洞分析
在分析漏洞之前，需要配置struts.xml文件，这个文件就是struts2的核心配置文件，大多数的时候增减配置都需要操控这里；

总共两处需要注意，第一处一定要配置struts.mapper.alwaysSelectFullNamespace  = true ，否则不能触发漏洞，这个配置的目的是设定是否一直在最后一个斜线之前的任何位置选定NameSpace；第二处result标签返回的类型选择 “ redirectAction 或 chain“ , 只有这两个配置选项的值是可以将action转发或者重定向；关于type具体可以参考下图

说完了配置，开始动态分析。漏洞位于
struts2-core.jar!/org/apache/struts2/dispatcher/ServletActionRedirectResult.class

this.namespace这个成员的值来自于getNamespace()方法，再通过getUriFromActionMapping()返回URI字符串；

通过getUriFromActionMapping获取的值赋给了tmpLocation变量，接着表达式进入setLocation方法

再通过super.execute方法调用了ServletActionResult ，而在execute方法体内跟进了conditionalParse方法，在这个方法内调用了ONGL执行的关键方法translateVariables。

获得的param值传入到translateVariables()方法内，最终在OnglTextPaser里导致了OGNL表达式执行。

[1] [2]  下一页

2018年8月22日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（S2-057/CVE-2018-11776），该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。
该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时，namespace值未被设置且在上层动作配置（Action Configuration）中未设置或用通配符namespace，可能导致远程代码执行。同理，url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行，经过笔者自建环境成功复现漏洞且可以执行命令回显，文末有你们想要的 !
漏洞利用
笔者搭的环境分别是Strust2 2.3.20版本和 Strust2 2.3.34版本，漏洞利用大致分为三种方式：数值计算、弹出计算器、 命令回显。
2.1 数值计算
数值计算相对最简单，在URL上指定 %{100+200} 就可以发生跳转，得到计算的结果

2.2 弹出计算器
2.3.20版本的POC如下：

copyright 无奈人生

2.3.3 4版本参考的POC如下：


2.3 命令回显
两个版本都是利用com.opensymphony.xwork2.dispatcher.HttpServletResponse对象去打印命令执行后的回显数据
2.3.20版本的POC如下：
无奈人生安全网
2.3.34版本的POC如下：

攻击后效果如下图

漏洞分析
在分析漏洞之前，需要配置struts.xml文件，这个文件就是struts2的核心配置文件，大多数的时候增减配置都需要操控这里；

总共两处需要注意，第一处一定要配置struts.mapper.alwaysSelectFullNamespace  = true ，否则不能触发漏洞，这个配置的目的是设定是否一直在最后一个斜线之前的任何位置选定NameSpace；第二处result标签返回的类型选择 “ redirectAction 或 chain“ , 只有这两个配置选项的值是可以将action转发或者重定向；关于type具体可以参考下图

无奈人生安全网

说完了配置，开始动态分析。漏洞位于
struts2-core.jar!/org/apache/struts2/dispatcher/ServletActionRedirectResult.class

this.namespace这个成员的值来自于getNamespace()方法，再通过getUriFromActionMapping()返回URI字符串；

通过getUriFromActionMapping获取的值赋给了tmpLocation变量，接着表达式进入setLocation方法
内容来自无奈安全网
再通过super.execute方法调用了ServletActionResult ，而在execute方法体内跟进了conditionalParse方法，在这个方法内调用了ONGL执行的关键方法translateVariables。

获得的param值传入到translateVariables()方法内，最终在OnglTextPaser里导致了OGNL表达式执行。

[1] [2]  下一页 本文来自无奈人生安全网

。 (责任编辑：admin)