apache struts 2.0.0-2.3.16版本的默认上传机制是基于commons fileupload 1.3版本,其附加的parametersinterceptor允许访问'class' 参数(该参数直接映射到getclass()方法),并允许控制classloader。在具体的web容器部署环境下(如:tomcat),攻击者利用 web容器下的java class对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。
让我们一起来回顾一下struts缝缝补补的历史(万恶的正则表达式):
2007年1月:
dojo..*
2008年6月:
dojo..,^struts..
2012年3月:
dojo..,^struts..,^session..,^request..,^application..,^servlet(request|response)..,parameters...*
2013年10月:
^dojo..,^struts..,^session..,^request..,^application..,^servlet(request|response)..,^parameters..,^action:.,^method:.*
2014年3月(s2-020):
^class..,^dojo..,^struts..,^session..,^request..,^application..,^servlet(request|response)..,^parameters..,^action:.,^method:.
漏洞详情:struts 2.3.15.1之前的版本,参数action的值redirect以及redirectaction没有正确过滤,导致ognl代码执行。
修复方式:将 '^class.*'添加到excludeparams列表内
2014年4月……
000038263.png
从目前公布的信息来看,这个漏洞的局限性很高,利用范围仍然有限。
目前官方在github上对该问题做出了修正(临时)。
代码修复详情:
<a href="https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be#diff-710b29900cea21e85893cae43dd08c92">https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be#diff-710b29900cea21e85893cae43dd08c92</a>
core/src/main/resources/struts-default.xml
^class..,^dojo..,^struts..,^session..,^request..,^application..,^servlet(request|response)..,^parameters..,^action:.,^method:. + (..|^)class..,^dojo..,^struts..,^session..,^request..,^application..,^servlet(request|response)..,^parameters..,^action:.,^method:.*
请注意多处都要修改。
在4月24日下午,又有同学贴出了终极修改方案:
修改struts源码
将此处代码:
修改为:
![Java String.format方法的简单使用[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)