apache struts2漏洞 但是系统没有用_tomcat ajp漏洞

2022-10-05 09:44:33 浏览数 (2)

大家好,又见面了,我是你们的朋友全栈君。

0x00 前言

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

0x01 漏洞原理

1、基于Jakarta Multipart解析器执行文件上传时存在远程代码执行漏洞2、恶意攻击者精心构造Content-Type的值 3、通过版本比对定位漏洞原因 ①Content-Length 的长度值超长 ②Content-Disposition的filename存在空字节 Content-Length 的长度值超长 这个漏洞需要在strust.xml中加入 <constant name=”struts.multipart.parser” value=”jakarta-stream” />才能触发。 触发漏洞的代码在 JakartaStreamMultiPartRequest类中,processUpload函数处理了content-length长度超长的异常,导致问题触发。 private void processUpload(HttpServletRequest request, String saveDir) throws Exception { // Sanity check that the request is a multi-part/form-data request. if (ServletFileUpload.isMultipartContent(request)) { // Sanity check on request size. boolean requestSizePermitted = isRequestSizePermitted(request); // Interface with Commons FileUpload API // Using the Streaming API ServletFileUpload servletFileUpload = new ServletFileUpload(); FileItemIterator i = servletFileUpload.getItemIterator(request); // Iterate the file items while (i.hasNext()) { try { FileItemStream itemStream = i.next(); // If the file item stream is a form field, delegate to the // field item stream handler if (itemStream.isFormField()) { processFileItemStreamAsFormField(itemStream); } // Delegate the file item stream for a file field to the // file item stream handler, but delegation is skipped // if the requestSizePermitted check failed based on the // complete content-size of the request. else { // prevent processing file field item if request size not allowed. // also warn user in the logs. if (!requestSizePermitted) { addFileSkippedError(itemStream.getName(), request); LOG.warn(“Skipped stream ‘#0’, request maximum size (#1) exceeded.”, itemStream.getName(), maxSize); continue; } processFileItemStreamAsFileField(itemStream, saveDir); } } catch (IOException e) { e.printStackTrace(); } } } } 触发点在LOG.warn(“Skipped stream ‘#0’, request maximum size (#1) exceeded.”, itemStream.getName(), maxSize); 之后进入了函数addFileSkippedError,我们又见到了熟悉的buildErrorMessage,而这次带入的参数为fileName private void addFileSkippedError(String fileName, HttpServletRequest request) { String exceptionMessage = “Skipped file ” fileName “; request size limit exceeded.”; FileSizeLimitExceededException exception = new FileUploadBase.FileSizeLimitExceededException(exceptionMessage, getRequestSize(request), maxSize); String message = buildErrorMessage(exception, new Object[]{fileName, getRequestSize(request), maxSize}); if (!errors.contains(message)) errors.add(message); } Content-Disposition的filename存在空字节 第二种触发漏洞的方式,属于直接触发,在streams.class中,会对filename进行检查,如果检查出错,也会记录log。 public static String checkFileName(String fileName) { if (fileName != null && fileName.indexOf(‘u0000’) != -1) { // pFileName.replace(“u0000”, “\0”) final StringBuilder sb = new StringBuilder(); for (int i = 0; i < fileName.length(); i ) { char c = fileName.charAt(i); switch (c) { case 0: sb.append(“\0”); break; default: sb.append(c); break; } } throw new InvalidFileNameException(fileName, “Invalid file name: ” sb); } return fileName; } 最终进入的是JakartaStreamMultiPartRequest类的,我们又见到了buildErrorMessage public void parse(HttpServletRequest request, String saveDir) throws IOException { try { setLocale(request); processUpload(request, saveDir); } catch (Exception e) { e.printStackTrace(); String errorMessage = buildErrorMessage(e, new Object[]{}); if (!errors.contains(errorMessage)) errors.add(errorMessage); } }

0x02漏洞危害

通过Jakarta 文件上传插件,可执行具有恶意Content-Disposition 值或具有不正确Content-Length 报头的RCE攻击,直接获取应用系统所在服务器的控制权限,进而控制网站服务器

0x03 修复建议

1、升级版本: 请升级至Struts2安全版本 Struts 2.3.32:https://cwiki.apache.org/confluence/display/WW/Version Notes 2.3.32 Struts 2.5.10.1:https://cwiki.apache.org/confluence/display/WW/Version Notes 2.5.10.1

欢迎大家分享更好的思路,热切期待^^_^^ !

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

0 人点赞