Apache Struts2 远程代码执行漏洞分析CVE-2019-0230

Apache Struts2存在远程代码执行漏洞，编号CVE-2019-0230。Struts2在某些标签属性中使用OGNL表达式时，因为没有做内容过滤，在传入精心构造的请求时，可以造成OGNL二次解析，执行指定的远程代码。

Struts2是一个基于MVC设计模式的Web应用框架。在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互Struts2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开，所以Struts2可以理解为WebWork的更新产品。

Struts2在某些标签属性中使用OGNL表达式时，因为没有做内容过滤，在传入精心构造的请求时，可以造成OGNL二次解析，执行指定的远程代码。

<s:url var="url" namespace="/employee" action="list"/><s:a id="%{skillName}" href="%{url}">List available Employees</s:a>

在上面的例子中。如果攻击者可以修改skillName的值，并传入一个恶意的OGNL表达式，最终就可以导致远程代码执行。

搭建Apache Struts2 2.5.16环境，首先直接传入执行代码的ognl表达式。

可以发现在控制台输出如下内容：

从而定位到SecurityMemberAccess类的isAccessible方法，可以发现该方法做了一些过滤，并且上面出现的语句也是在这里输出的：

梳理调用栈，可以找到位于OgnlRuntime类中的isMethodAccessible方法，该方法通过对不同的memberAccess调用不同的isAccessible方法：

结合之前的漏洞，需要将context中的memberAccess属性设置为没做任何过滤的DefaultMemberAccess类。构造流程是首先获取到OgnlUtil类，然后将黑名单package和类的属性置空或者做其他修改，最后修改memberAccess属性。

跳转到OgnlUtil类，发现set方法可以直接实现上述提到的黑名单类和包的覆写，于是一条完整的调用链就提取出来了。

值得一提的是，在2.5.16版本之后，上面提到的set方法由覆写变成追加，所以需要寻找新的置空方式。

搭建Apache Struts 2.5.16漏洞环境，使用构造的payload进行攻击，最终执行指定代码，弹出计算器，效果如图：

目前受影响的Struts2版本：

Apache Struts2  2.0.0 - 2.5.20

Struts 2.5.22及以后的版本已经防御此漏洞，请受漏洞影响的用户下载最新版本。

下载链接：

https://struts.apache.org/download.cgi#struts2522

【深信服下一代防火墙】可轻松防御此漏洞，建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

https://struts.apache.org/download.cgi#struts2522