简析struts2漏洞CVE-2017-5638,S02-45 (形成原理,解决方法)

简单说一下Struts2基于“commons-fileupload”组件实现文件上传的漏洞,漏洞编号CVE-2017-5638,S02-45.

1. 漏洞重现:

     通过发包模拟器或其它你能修改请求头Content-Type字段的客户端,可以把 Content-Type 修改成诸如haha~multipart/form-data %{#[email protected]@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec('calc')};   的形式。

    自己搭个web服务器,MVC框架使用struts2 (使用有问题的版本),实现一个文件上传的功能。

    然后发包模拟器发包,结果发现在服务端电脑上弹出一个计算器的程序,谁让你动我电脑上的东西了吗?但就是动了,流氓会武术谁也档不住~~  OMG!!!    

   简析struts2漏洞CVE-2017-5638,S02-45 (形成原理,解决方法)_第1张图片

 

2. 漏洞形成原理:

    由于请求对象的头字段Content-Type内容是非法的,不符合格式的,所以上传肯定是会出错的,commons-fileupload组件的ServletFileUpload#parseRequest(RequestContext)方法会抛出异常,其中异常信息就包含ognl格式的字符串%{#[email protected]@DEFAULT_MEMBER_ACCESS,@java.lang.Runtime@getRuntime().exec('calc')};
      重点来了,struts2会对异常信息执行国际化的功能,它会使用ognl去解析这个符合ognl语法格式的字符串,然后就悲剧了,成功弹出一个计算器。

 

3. 漏洞解决方法

   a. 使用官方补丁.

   b. 对于懒得替换struts2版本的朋友,可以自己在StrutsPrepareAndExecuteFilter过滤器前增加一个过滤器,如果发现Content-Type有非法字符,就不再调用struts2的过滤器就行.

       补充一句,为什么不能使用struts2拦截器来过滤这种请求呢,因为漏洞执行的时候还没到strus2的拦截器,在StrutsPrepareAndExecuteFilter类的doFilter方法中,

request = prepare.wrapRequest(request);

包装请求对象的时候漏洞就执行了,也就是说如果是文件上传请求,在包装请求对象的时候文件就已被保存到服务器了。

转载于:https://my.oschina.net/u/157224/blog/854364

你可能感兴趣的:(简析struts2漏洞CVE-2017-5638,S02-45 (形成原理,解决方法))