Apache Struts2 文件上传漏洞分析（CVE-2023-50164）教学文档<\/h1>

漏洞概述<\/h2>
Apache Struts2 是一个开源的 Java Web 应用程序开发框架，用于构建企业级Web应用程序。CVE-2023-50164是一个文件上传漏洞，攻击者可在特定条件下通过污染上传参数实现任意文件上传，进而执行任意代码。<\/p>

影响范围<\/h2>

Struts 2.0.0 - 2.3.37<\/li>
Struts 2.5.0 - 2.5.32<\/li>

Struts 6.0.0 - 6.3.0<\/li> <\/ul>

漏洞分析<\/h2>

关键知识点<\/h3>

ActionSupport<\/strong>：表示一个Struts2的Action，包含三个关键属性：<\/p>

upload<\/code>：上传的文件<\/li>
fileFileName<\/code>：上传的文件名<\/li>
fileContentType<\/code>：上传的文件类型<\/li> <\/ul> <\/li>
文件上传机制<\/strong>：<\/p> 未配置时：使用javax.servlet.context.tempdir<\/code>默认参数<\/li> 配置后：使用指定路径<\/li> <\/ul> <\/li> <\/ol> 漏洞前提条件<\/h3> 必须存在一个文件上传接口，这是漏洞利用的"特定条件"。<\/p> 漏洞原理<\/h3> 参数处理机制<\/strong>：<\/p> Struts2处理HTTP参数时对大小写不敏感<\/li> 可通过参数覆盖控制上传路径和文件名<\/li> <\/ul> <\/li> 关键流程<\/strong>：<\/p> 默认情况下会进入setMultipartSaveDir<\/code>方法确定存储路径<\/li> 生成临时文件(tmp)<\/li> 正常情况下Struts会删除临时文件<\/li> <\/ul> <\/li> 漏洞触发点<\/strong>：<\/p> 通过控制参数顺序和大小写形式，可以绕过路径限制<\/li> 构造特定参数组合可实现目录穿越<\/li> <\/ul> <\/li> <\/ol> 漏洞复现<\/h2> 环境搭建<\/h3> 下载Struts 6.3.0源码<\/li> 创建自定义Action类：<\/li> <\/ol> public<\/span> class<\/span> UploadAction<\/span> extends<\/span> ActionSupport {<\/span> <\/span><\/span> private<\/span> File upload;<\/span> <\/span><\/span> private<\/span> String uploadContentType;<\/span> <\/span><\/span> private<\/span> String uploadFileName;<\/span> <\/span><\/span> private<\/span> String caption;<\/span> <\/span><\/span> <\/span><\/span> \/\/ getter和setter方法 <\/span><\/span><\/span><\/span> <\/span><\/span> public<\/span> String upload<\/span>()<\/span> {<\/span> <\/span><\/span> String path =<\/span> "D:\\uploads\\a\\"<\/span>;<\/span> <\/span><\/span> String realPath =<\/span> path +<\/span> File.<\/span>separator<\/span> +<\/span> uploadFileName;<\/span> <\/span><\/span> \/\/ 文件上传处理 <\/span><\/span><\/span><\/span> return<\/span> SUCCESS;<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre> 配置struts-fileupload.xml添加action映射<\/li> <\/ol> 攻击向量构造<\/h3> 构造参数顺序和大小写组合：<\/p> { Upload=File{name='Upload'}, UploadFileName=File{name='UploadFileName'}, uploadFileName=..\/..\/shell.jsp, UploadContentType=File{name='UploadContentType'} } <\/code><\/pre> 最终上传路径会被解析为：D:\uploads\a\..\/..\/shell.jsp<\/code>，实现目录穿越。<\/p> 修复方案<\/h2> 升级到官方最新版本<\/li> 避免暴露未授权的文件上传路径<\/li> 为文件上传功能添加严格的拦截器检查<\/li> 官方补丁主要修复点：添加参数长度限制检查<\/li> 严格处理文件删除操作<\/li> 增强参数处理的安全性<\/li> <\/ul> <\/li> <\/ol> 补充说明<\/h2> 该漏洞可与文件名类型修改功能结合使用，形成更强大的攻击组合。在实际利用时，可考虑结合CC3等攻击链实现更复杂的攻击效果。<\/p> 参考资源<\/h2> 官方补丁下载：https:\/\/struts.apache.org\/download.cgi<\/li> 测试用例参考：HttpParametersTest<\/code>类中的大小写处理测试<\/li> <\/ul>

Apache Struts2 文件上传漏洞分析（CVE-2023-50164）教学文档<\/h1>

漏洞概述<\/h2> Apache Struts2 是一个开源的 Java Web 应用程序开发框架，用于构建企业级Web应用程序。CVE-2023-50164是一个文件上传漏洞，攻击者可在特定条件下通过污染上传参数实现任意文件上传，进而执行任意代码。<\/p>

漏洞分析<\/h2>

漏洞前提条件<\/h3> 必须存在一个文件上传接口，这是漏洞利用的"特定条件"。<\/p>

漏洞复现<\/h2>

补充说明<\/h2> 该漏洞可与文件名类型修改功能结合使用，形成更强大的攻击组合。在实际利用时，可考虑结合CC3等攻击链实现更复杂的攻击效果。<\/p>

参考资源<\/h2> 官方补丁下载：https:\/\/struts.apache.org\/download.cgi<\/li> 测试用例参考：HttpParametersTest<\/code>类中的大小写处理测试<\/li> <\/ul>

漏洞概述<\/h2>
Apache Struts2 是一个开源的 Java Web 应用程序开发框架，用于构建企业级Web应用程序。CVE-2023-50164是一个文件上传漏洞，攻击者可在特定条件下通过污染上传参数实现任意文件上传，进而执行任意代码。<\/p>

漏洞前提条件<\/h3>
必须存在一个文件上传接口，这是漏洞利用的"特定条件"。<\/p>

补充说明<\/h2>
该漏洞可与文件名类型修改功能结合使用，形成更强大的攻击组合。在实际利用时，可考虑结合CC3等攻击链实现更复杂的攻击效果。<\/p>

参考资源<\/h2>

官方补丁下载：https:\/\/struts.apache.org\/download.cgi<\/li>
测试用例参考：`HttpParametersTest<\/code>类中的大小写处理测试<\/li> <\/ul>`