Struts2 S2-020在Tomcat 8下的命令执行分析

Struts S2-020这个通告已经公布有一段时间了。目前大家都知道这个漏洞可以造成DOS、文件下载等危害，相信各大厂商也已经采取了相应的安全措施。今天是和大家分享一下对这个漏洞的一点研究，包括如何在Tomcat 8下导致RCE，目的是抛砖引玉，有不足之处欢迎大家指出。

1.属性列举

这个漏洞分析的一个难点在于：通过ognl的class.xx这种方式来遍历属性时，得到的是实际运行环境中的动态class，因此仅作静态分析是很困难的。例如classLoader，在不同容器中就各不相同。于是我编写了一个小脚本来自动枚举这样的属性：（这段脚本只考虑了int、string与boolean这些基本属性，未考虑数组等复杂的情况，实际情况下结果会更多）

<%@ page language="java" import="java.lang.reflect.*" %>
<%!
public void processClass(Object instance, javax.servlet.jsp.JspWriter out, java.util.HashSet set, String poc){
 try {
     Class c = instance.getClass();
     set.add(instance);
     Method[] allMethods = c.getMethods();
     for (Method m : allMethods) {
  if (!m.getName().startsWith("set")) {
      continue;
  }
  if (!m.toGenericString().startsWith("public")) {
      continue;
  }
  Class[] pType  = m.getParameterTypes();
  if(pType.length!=1) continue;
  
  if(pType[0].getName().equals("java.lang.String")||
  pType[0].getName().equals("boolean")||
  pType[0].getName().equals("int")){
   String fieldName = m.getName().substring(3,4).toLowerCase()+m.getName().substring(4);
   out.print(poc+"."+fieldName + "
");
  }
     }
     for (Method m : allMethods) {
  if (!m.getName().startsWith("get")) {
      continue;
  }
  if (!m.toGenericString().startsWith("public")) {
      continue;
  }  
  Class[] pType  = m.getParameterTypes();
  if(pType.length!=0) continue;
  if(m.getReturnType() == Void.TYPE) continue;
  Object o = m.invoke(instance);
  if(o!=null)
  {
   if(set.contains(o)) continue;
   processClass(o,out, set, poc+"."+m.getName().substring(3,4).toLowerCase()+m.getName().substring(4)); 
  } 
     }
 } catch (java.io.IOException x) {
     x.printStackTrace();
 } catch (java.lang.IllegalAccessException x) {
     x.printStackTrace();
 } catch (java.lang.reflect.InvocationTargetException x) {
     x.printStackTrace();
 }  
}
%>
<%
java.util.HashSet set = new java.util.HashSet