Struts2再曝S2-020补丁绕过漏洞 – 万恶的正则表达式

4月24日，网络曝出文章“安全研究人员指出Apache Struts2在漏洞公告S2-020里，在处理修复CVE-2014-0094的漏洞修补方案存在漏洞，导致补丁被完全绕过。”推荐阅读：Struts中异步传送XML和JSON类型的数据 http://www.linuxidc.com/Linux/2013-08/88247.htmStruts2的入门实例 http://www.linuxidc.com/Linux/2013-05/84618.htm受影响产品: Struts 2.0.0 – Struts 2.3.16.1
成因与威胁: Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本，其附加的ParametersInterceptor允许访问"class" 参数（该参数直接映射到getClass（）方法），并允许控制ClassLoader。在具体的Web容器部署环境下（如：Tomcat），攻击者利用 Web容器下的Java Class对象及其属性参数（如：日志存储参数），可向服务器发起远程代码执行攻击，进而植入网站后门控制网站服务器主机。让我们一起来回顾一下Struts缝缝补补的历史（万恶的正则表达式）：2007年1月：<param name="excludeParams">dojo..*</param>2008年6月：<param name="excludeParams">dojo..*,^struts..*</param>2012年3月：<param name="excludeParams">dojo..*,^struts..*,^session..*,^request..*,^application..*,^servlet（Request|Response）..*,parameters...*</param>2013年10月：<param name="excludeParams">^dojo..*,^struts..*,^session..*,^request..*,^application..*,^servlet（Request|Response）..*,^parameters..*,^action:.*,^method:.*</param>2014年3月（S2-020）：<param name="excludeParams">^class..*,^dojo..*,^struts..*,^session..*,^request..*,^application..*,^servlet（Request|Response）..*,^parameters..*,^action:.*,^method:.*</param>漏洞详情：Struts 2.3.15.1之前的版本，参数action的值redirect以及redirectAction没有正确过滤，导致ognl代码执行。修复方式：将 "^class.*"添加到excludeParams列表内2014年4月……从目前公布的信息来看，这个漏洞的局限性很高，利用范围仍然有限。目前官方在GitHub上对该问题做出了修正（临时）。代码修复详情：https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be#diff-710b29900cea21e85893cae43dd08c92core/src/main/resources/struts-default.xml- <param name="excludeParams">^class..*,^dojo..*,^struts..*,^session..*,^request..*,^application..*,^servlet（Request|Response）..*,^parameters..*,^action:.*,^method:.*</param> + <param name="excludeParams">（.*.|^）class..*,^dojo..*,^struts..*,^session..*,^request..*,^application..*,^servlet（Request|Response）..*,^parameters..*,^action:.*,^method:.*</param>请注意多处都要修改。在4月24日下午，又有同学贴出了终极修改方案：修改struts源码

com.opensymphony.xwork2.interceptor.ParametersInterceptor将此处代码：public void setExcludeParams（String commaDelim） {Collection<String> excludePatterns = ArrayUtils.asCollection（commaDelim）;if （excludePatterns ！= null） {excludeParams = new HashSet<Pattern>（）;for （String pattern : excludePatterns） {excludeParams.add（Pattern.compile（pattern））;}}}修改为：public void setExcludeParams（String commaDelim） {Collection<String> excludePatterns = ArrayUtils.asCollection（commaDelim）;if （excludePatterns ！= null） {excludeParams = new HashSet<Pattern>（）;for （String pattern : excludePatterns） {excludeParams.add（Pattern.compile（pattern））;}}//s021 zhenzhetengPattern s021_1 = Pattern.compile（"（.*\.|^）class\..*",Pattern.CASE_INSENSITIVE）;Pattern s021_2 = Pattern.compile（".*"class&".*",Pattern.CASE_INSENSITIVE）;Pattern s021_3 = Pattern.compile（"（.*\.|^）class\[.*",Pattern.CASE_INSENSITIVE）;excludeParams.add（s021_1）;excludeParams.add（s021_2）;excludeParams.add（s021_3）;}Struts历史漏洞回顾:S2-020: http://struts.apache.org/release/2.3.x/docs/s2-020.htmlS2-019的远程代码执行漏洞: http://sebug.net/vuldb/ssvid-61048S2-016官方补丁分析：http://www.freebuf.com/articles/web/11234.htmlS2-013的漏洞分析：http://www.freebuf.com/vuls/9757.htmlStruts2最近几个漏洞分析&稳定利用Payload: http://www.freebuf.com/articles/web/25337.html希望Struts官方能在爆出漏洞的第一时间完美的堵上…..另外关于S2-020：http://sec.baidu.com/index.php？research/detail/id/18参考：apache：http://struts.apache.org/release/2.3.x/docs/s2-020.html
cnvd：http://www.cnvd.org.cn/webinfo/show/3427piyolog：http://d.hatena.ne.jp/Kango/20140417/139775019scutum：http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.htmlipa.jp：http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html空虚浪子心的博客：http://www.inbreak.net/还有各路微博……Struts 的详细介绍：请点这里
Struts 的下载地址：请点这里Symantec Messaging Gateway Management Console跨站脚本执行漏洞OpenSSL 凸显了技术单一面的风险相关资讯 Struts2 Struts2漏洞

Struts2数据验证机制（今 10:42）
ssh（sturts2_spring_hibernate）框（09月07日）
Struts2 声明式异常处理（07月13日）

Struts2数据校验（今 10:39）
Struts2一个实例中遇到的问题（07月14日）
Apache Struts method: prefix任意（04月27日）

本文评论查看全部评论（0）

表情：姓名：匿名字数

<button class="layui-btn layui-bg-purple" id="dofav">收藏该网址</button>
        </div>
    </div>
</div>
<div class="copyright">
    <div id="footbar">
        版权所有©石家庄振强科技有限公司2024 <a href="https://beian.miit.gov.cn" target="_blank">冀ICP备08103738号-5</a> <a href="/storage/sitemap.xml">网站地图</a>
    </div>
</div>
<script> var _mtj = _mtj || [];
(function () {
    var mtj = document.createElement("script");
    mtj.src = "https://node12.aizhantj.com:21233/tjjs/?k=p2tceukth5c";
    var s = document.getElementsByTagName("script")[0];
    s.parentNode.insertBefore(mtj, s);
})(); </script>
<script src="/static/lib/layui/layui.js"></script>
<script src="/static/lib/jquery/jquery.js"></script>
<script src="/static/lib/ajax.js"></script>
<script>
    layui.use(function () {
        var layer = layui.layer;
        var $ = layui.jquery;
        $("#dofav").click(function () {
            var artid = $(".article").attr("artid");
            var params={
                artid:artid,
                addtype:'escdns_article',
                t:Math.random()
            };
            if(artid>0){
                ajax.request({
                    method: "/index/article/addfavorite", type: "post", callback: function (res) {
                        layer.msg(res.msg);
                    }
                },params);
            }
        })
    })
</script>
</body>
</html>