struts2-052漏洞學習筆記

阿新 • • 發佈：2018-12-09

瞭解漏洞

struts2是什麼？

Struts2是一個基於MVC設計模式的Web應用框架，它本質上相當於一個servlet，在MVC設計模式中，Struts2作為控制器(Controller)來建立模型與檢視的資料互動。Struts 2是Struts的下一代產品，是在 struts 1和WebWork的技術基礎上進行了合併的全新的Struts 2框架。其全新的Struts 2的體系結構與Struts 1的體系結構差別巨大。Struts 2以WebWork為核心，採用攔截器的機制來處理使用者的請求，這樣的設計也使得業務邏輯控制器能夠與ServletAPI完全脫離開，所以Struts 2可以理解為WebWork的更新產品。雖然從Struts 1到Struts 2有著太大的變化，但是相對於WebWork，Struts 2的變化很小。

MVC：是一種思想，是一種模式，將軟體分為 Model模型、View檢視、Controller控制器

struts2-052是什麼漏洞？

2017年9月5日，Apache Struts官方釋出最新的安全公告稱，Apache Struts 2.5.x的REST外掛存在遠端程式碼執行高危漏洞，漏洞編號為CVE-2017-9805（S2-052），受影響的版本為Struts 2.5 - Struts 2.5.12。攻擊者可以通過構造惡意XML請求在目標伺服器上遠端執行任意程式碼。漏洞的成因是由於使用XStreamHandler反序列化XStream例項的時候沒有執行嚴格的過濾導致遠端程式碼執行。

分析漏洞原理

在目錄/struts-2.3.33/src/plugins/rest/src/中找到問題外掛rest的原始碼

在/main/resources/struts-plugin.xml配置了很多的bean，這些bean按照content-type進行分類，並唯一指定一個具體的Handler。這些Handler都實現了ContentTypeHandler介面。從下圖原始碼中可以看出，這個ContentTypeHandler實際上是按照Content-type的不同，將請求的資料丟給指定的子類進行處理，其中紅圈為漏洞所在子類：

進入目錄/struts-2.3.33/src/plugins/rest/src/main/java/org/apache/struts2/rest/handler找到問題子類的原始碼：

這裡實際上就是對XML和java物件之間進行轉化，這裡面的 toObject方法觸發了漏洞——反序列化XStream例項的時候沒有執行嚴格的過濾。

結合以上兩個情況，如果我們攔截住提交資料的請求包，將其對應的ContentType直接改為 application/xml，則ContentTypeHandler按照Content-type，很自然的就把這個包分發給了XStreamHandler這個類來處理，然而這個類沒有進行任何校驗，直接進行了轉換，所以伺服器就會直接執行我們編寫的任意xml程式碼。