万年漏洞王Struts2是如何炼成的
百度脑图:目录
1. 万年漏洞王又出事了。。。
17年三月份,Struts2再一次被爆出一个严重的漏洞S2-045,上传文件时可能存在RCE(Remote Code Execution)。由于涉及到的文件上传模块(Jakarta Multipart parser)是Struts2的默认配置,所以这一漏洞影响范围非常广泛。上一次影响范围如此大的漏洞是13年的s2-013。而且从Struts2的Security Bulletins列表中可以看到,remote command execution和Remote Code Execution这样的字眼经常出现,这篇博客在分析最近这次漏洞原理的基础上,也会探究一个重要的问题:为什么Struts2总是出现漏洞?
2. S2-045原因简析
2.1 漏洞触发原理
这个漏洞的主要涉及到的是文件上传功能,我们知道在上传文件的时候,一般请求对象request的header中的contentType字段是multipart/form-data或multipart/mixed,如果有人构造一个错误的contentType,那么Struts2会抛出异常,下面是在parse request对象的时候可能抛出异常的部分:
String contentType = ctx.getContentType();
if ((null == contentType)
|| (!contentType.toLowerCase(Locale.ENGLISH).startsWith(MULTIPART))) {
throw new InvalidContentTypeException(
format("the request doesn't contain a %s or %s stream, content type header is %s",
MULTIPART_FORM_DATA, MULTIPART_MIXED, contentType));
}其实这个验证流程没有问题,问题出在抛出异常后的处理。Struts2中使用的是JakartaMultiPartRequest用于封装文件上传请求,下面是JakartaMultiPartRequest的parse方法,该方法主要用于实现文件上传,其中包括上面说到的请求内容的验证过程,如果如上所述contentType出现错误,那么processUpload会抛出InvalidContentTypeException异常,如下:
public void parse(HttpServletRequest request, String saveDir) throws IOException {
try {
setLocale(request);
processUpload(request, saveDir);//验证出错,抛出InvalidContentTypeException异常
} catch (FileUploadBase.SizeLimitExceededException e) {
//process SizeLimitExceededException
} catch (Exception e) {
//InvalidContentTypeException在这里被catch住
String errorMessage = buildErrorMessage(e, new Object[]{});//漏洞源
if (!errors.contains(errorMessage)) {
errors.add(errorMessage);
}
}
}重点在于struts2在catch块中对于异常的处理过程。可见这里调用了buildErrorMessage对异常进行处理,返回一个String类型的errorMessage。下面是buildMessage中的简易调用关系图:
buildMessage调用逻辑
可以看到,最终的解析任务落到了ValueStack对象上。ValueStack组件是Struts2中非常重要的组成部分,该组件的功能就是作为一个表达式引擎,解决MVC框架中普遍存在的数据转换问题。其默认实现是基于Ognl的OgnlValueStack。Ognl是一个功能强大的表达式引擎,潜在的恶意代码就是在该表达式引擎中被执行。下面重点分析下Struts2中使用的表达式引擎OGNL。
2.2 Ognl:这个锅俺不背
Struts2出现的漏洞大多与RCE(Remote Code Execution)有关,request中都是文本形式的数据,怎么会被执行了呢?这就不得不说Ognl了。
2.2.1 什么是Ognl?
OGNL(Object-Graph Navigation Language)是一个开源的表达式引擎,我们可以通过Ognl来存取Java对象 的任意属性,也可以调用Java对象的方法。下面是表达式引擎的简单示意图:
表达式引擎示意图
2.2.2 为什么需要Ognl?
要弄清楚这个问题,还得回到MVC模式本身。MVC模式面临着数据在不同组件中的不断流转的事实,比如:在Model中数据表现形式为Java对象,而Java世界中具有丰富的数据类型(List、Map、Set等)。可是在View层中,数据表现为字符串,其目的仅仅是为了展示内容。这就造成了数据形式不匹配的问题,那么怎么解决呢?这就需要一个"翻译":表达式引擎。如:Ognl,SpringEL等。
下面通过几个简单的实例看下通过Ognl可以做什么?
首先自定义OgnlExpression,对Ognl的部分功能进行封装。如下:
public class OgnlExpression {
private Object expression;
public OgnlExpression(String expressionString) throws OgnlException{
expression = Ognl.parseExpression(expressionString);
}
public Object getExpression(){
return this.expression;
}
public Object getValue( OgnlContext context, Object rootObject )
throws OgnlException
{
return Ognl.getValue( getExpression(), context, rootObject );
}
public void setValue( OgnlContext context, Object rootObject, Object value )
throws OgnlException
{
Ognl.setValue(getExpression(), context, rootObject, value);
}
}示例一,利用Ognl访问对象属性、调用对象方法:
String expression = "[1].toCharArray()[2]";
OgnlExpression ognlExpr = new OgnlExpression(expression);
String arr[] = {"struts2","ognl","action"};
OgnlContext context = new OgnlContext();
context.put("arr", arr);
System.out.println(ognlExpr.getValue(context, arr));输出:
n
示例二,利用Ognl新建对象,并调用其方法:
String expression = "#@java.util.HashMap@{\"name\" : \"wqx\", \"country\" : \"PRC\" }.(#this.keySet())";
OgnlExpression ognlExpr = new OgnlExpression(expression);
OgnlContext context = new OgnlContext();
System.out.println(ognlExpr.getValue(context, null));输出:
[name, country]
示例三:利用Ognl新建对象。。。一个危险的对象:java.lang.ProcessBuilder
String expression = "(#cmd={'cmd.exe','/c', 'java -version'})."
+ "(#builder=new java.lang.ProcessBuilder(#cmd))."
+ "(#builder.redirectErrorStream(true))."
+ "(#process=#builder.start())."
+ "(#output=(@java.lang.System@out))."
+ "(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#output))";
OgnlExpression ognlExpr = new OgnlExpression(expression);
OgnlContext context = new OgnlContext();
System.out.println(ognlExpr.getValue(context, null));输出:
java version "1.7.0_79"
Java(TM) SE Runtime Environment (build 1.7.0_79-b15)
Dynamic Code Evolution 64-Bit Server VM (build 24.79-b02-dcevmfull-8, mixed mode)
看到这里,Ognl的隐患就显现出来了,利用Ognl能够完成对象创建、读写等过程。这无疑为不怀好意的hack提供了很好的入侵切入点。
物极必反啊!
3. 小结
3.1 Struts2的现在
目前,由于存在大量的遗留系统都是使用Struts2的,所以其流行度还可以。不过看看Struts2的Announcements就觉得“漏洞王”的美名真不是盖的。。。
Struts2 Announcements
在Struts2自身的演进方面,16年五月发布的Struts2.5GA版本中,XWork被合并到StrutsCore中,两者算是彻底统一了。到17年4月为止,最近的迭代版本在功能上并没有什么太大的改变,主要FixBugs、局部重构、升级依赖的lib、移除DeprecatedAPI等,当然了,少不了security fixes,唉。。。不过有几个待实现的New Feature挺有意思,如允许对Action的method进行注解配置,如下:
@ActionPath("/books/{id}")
public String showAction(@PathParam("id") String id,
@QueryParam("name") String name) {
...
return "success";
}额。。。怎么越看越像SpringMVC了。还有异步Action,这样就可以使用Servlet3.0中的“async context”了。
3.2 Struts2的未来
Struts2作为很多Web开发者最早接触的mvc框架,如今却落得个“万年漏洞王”的“美名”。在很多人眼里如“筛子”一样的Struts2未来还是“任重道远”。系统安全越来越受到重视的今天,人们对漏洞这样的词汇变得异常敏感,这直接导致在技术选型阶段就会产生对Struts2不利的主观意向。此外,主要“竞争对手”SpringMVC借助Spring在Java企业级开发中的垄断地位,越来越成为开发者的首选。不过,作为一个学习者来说,Struts2还是非常适合新手认真研习的,学习其对MVC的实现,对OOP思想的贯彻,对Web开发中请求响应模型别具一格的设计实现思路等。