Struts2遠程代碼執行漏洞s2-032分析及其利用

作者：Simeon 2016-04-29 10:58:13

Struts2遠程代碼執行漏洞(s2-032)引發了無數大型系統的“血案”，很多從事開發和安全維護的朋友，在4月26日基本是無眠之夜，在撰寫本文時，在烏云和360補天平臺上鋪天蓋地的s2-032遠程執行漏洞，航空、銀行、學校和政府成為本次漏洞的重災區，s2-032遠程代碼執行漏洞危害大，本文對s2-032漏洞進行介紹，并對如何利用等進行詳細介紹。

[[165868]]

1.Struts簡介

Struts是Apache基金會Jakarta項目組的一個開源項目，Struts通過采用Java Servlet/JSP技術，實現了基于Java EE Web應用的Model-View-Controller(MVC)設計模式的應用框架，是MVC經典設計模式中的一個經典產品。目前，Struts框架廣泛應用于政府、公安、交通、金融行業和運營商的網站建設，作為網站開發的底層模板使用，是應用最廣泛的Web應用框架之一。

Struts 2是Struts的下一代產品，是在 struts 1和WebWork的技術基礎上進行了合并的全新的Struts 2框架。其全新的Struts 2的體系結構與Struts 1的體系結構差別巨大，其在Action的實現方面線程模型方面、Servlet依賴方面、封裝請求參數、表達式語言方面、綁定值到視圖技術、類型轉換、Action執行控制的對比、攔截器的應用等方面較Struts1進行了較大改進。Struts 2以WebWork為核心，采用攔截器的機制來處理用戶的請求，這樣的設計也使得業務邏輯控制器能夠與 ServletAPI完全脫離開，所以Struts 2可以理解為WebWork的更新產品。雖然從Struts 1到Struts 2有著太大的變化，但是相對于WebWork，Struts 2的變化很小。

2. s2-032漏洞簡介

4月15號安恒安全研究院在Struts 2上發現了一個嚴重的遠程代碼執行漏洞(CVE-2016-3081)(http://seclab.dbappsecurity.com.cn/?p=924)，也即Struts 2的s2-032漏洞，4月26日，互聯網上披露了Apache Struts 2 S2-032遠程代碼執行漏洞的利用代碼，經測試，遠程攻擊者利用漏洞可在開啟動態方法調用功能的Apache Struts 2服務器上執行任意代碼，取得網站服務器控制權。

(1)調用方法

Struts2是第二代基于Model-View-Controller (MVC)模型的java企業級web應用框架，并成為當時國內外較為流行的容器軟件中間件。Struts 2的核心jar包-struts2-core中，存在一個default.properties的默認配置文件用于配置全局信息，當struts.enable.DynamicMethodInvocation = true，即開啟動態方法調用。盡管在Struts2目前的安全策略中，對部分動態調用方法進行了特殊字符傳遞的限制，但在該漏洞中攻擊者仍能通過通過OGNL表達式靜態調用獲取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS屬性并覆蓋_memberAccess的方式進行繞過，進而可在受控制的服務器端執行任意代碼。

(2)漏洞影響范圍

漏洞影響Struts 2.0.0 - 2.3.28 (除2.3.20.2和2.3.24.2以外)版本

(3)漏洞修復建議

Apache Struts官方已發布了升級程序修復該漏洞，建議用戶升級至struts 2.3.20.2，2.3.24.2，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/display/WW/Migration+Guide。未能及時升級的用戶也可通過如下參數設置關閉動態方法調用功能來規避該漏洞的攻擊威脅

3.漏洞測試樣例

(1)測試當前用戶