洞态IAST自动检测S2-007漏洞

admin 2021年7月21日00:02:21评论84 views字数 2376阅读7分55秒阅读模式

1. 启动在线靶场

登陆在线靶场:https://labs.iast.huoxian.cn:8082,启动`S2-007`环境,等待环境启动之后,点击访问靶场按钮即可前往靶场环境。该环境来源于`vulhub`和`vulapps`

洞态IAST自动检测S2-007漏洞

2. 登陆洞态IAST网站:

http://iast.huoxian.cn:8000/,查看漏洞检测结果

洞态IAST自动检测S2-007漏洞

洞态IAST自动检测S2-007漏洞

3. 进入搜索功能,分析完整的污点调用图

3.1 Source点

首先,在org.apache.struts2.dispatcher.Dispatcher.DefaultActionMapper#createContextMap()方法中,调用Servlet接口的getParameterMap方法获取外部参数,形成初始污点,然后将Map对象放入Struts2上下文com.opensymphony.xwork2.ActionContext.parameters

洞态IAST自动检测S2-007漏洞

3.2 Propagator方法

经过一系列的处理,在com.opensymphony.xwork2.interceptor.ParametersInterceptor#doIntercept方法中,调用this.retrieveParameters(ac)方法获取参数,最终在this.get("com.opensymphony.xwork2.ActionContext.parameters”)方法中通过Struts2上下文获取参数,与初始污点形成关联;

初始污点在com.opensymphony.xwork2.interceptor.ParametersInterceptor#doIntercept方法中通过setParameters方法将参数传递至ParametersInterceptor实例化对象中,最终在com.opensymphony.xwork2.interceptor.ConversionErrorInterceptor#intercept中调用org.apache.struts2.interceptor.StrutsConversionErrorInterceptor#getOverrideExpr方法,经过字符串拼接,形成最终的ognl表达式,代码如下:

protected Object getOverrideExpr(ActionInvocation invocation, Object value) {
ValueStack stack = invocation.getStack();

String var4;
try {
stack.push(value);
var4 = "'" + stack.findValue("top", String.class) + "'";
} finally {
stack.pop();
}

return var4;
}

其中,字符串拼接部分对应JDK实现是StringBuilder的一系列操作,如下图

洞态IAST自动检测S2-007漏洞

ognl表达式在com.opensymphony.xwork2.interceptor.ConversionErrorInterceptor#intercept方法中,被放入map对象faike中:fakie.put(propertyName, this.getOverrideExpr(invocation, value));

然后,设置fakie对象到ExprOverrides

if (fakie != null) {
stack.getContext().put("original.property.override", fakie);
invocation.addPreResultListener(new PreResultListener() {
public void beforeResult(ActionInvocation invocation, String resultCode) {
Map<Object, Object> fakie = (Map)invocation.getInvocationContext().get("original.property.override");
if (fakie != null) {
invocation.getStack().setExprOverrides(fakie);
}
}
});
}

然后,在com.opensymphony.xwork2.ognl.OgnlValueStack#lookupForOverrides方法中,将Ognl表达式读取出来

洞态IAST自动检测S2-007漏洞

然后在com.opensymphony.xwork2.ognl.OgnlUtil#getValue方法中,调用compile方法,形成Ognl对象

public Object getValue(String name, Map<String, Object> context, Object root, Class resultType) throws OgnlException {
return Ognl.getValue(this.compile(name), context, root, resultType);
}

洞态IAST自动检测S2-007漏洞

3.3 Sink方法

最后,在ognl.Ognl#getValue方法中,使用Ognl表达式对象的getValue方法获取Ognl表达式的值

洞态IAST自动检测S2-007漏洞

本文没有对完整的漏洞细节进行分析,大家可以根据这篇文章,在关键方法的位置设置断点进行debug,逐步分析,还原漏洞的形成过程。

账号申请

•SaaS版本地址:https://iast.huoxian.cn:8002

    •SaaS版本账号申请

洞态IAST自动检测S2-007漏洞

洞态IAST合作伙伴计划之整体开源联合开发,申请方式请扫描下方二维码

洞态IAST自动检测S2-007漏洞

如需加入技术讨论群,扫描二维码添加微信并备注"洞态IAST-加群",工作人员将拉您进群

洞态IAST自动检测S2-007漏洞

本文始发于微信公众号(火线Zone):洞态IAST自动检测S2-007漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月21日00:02:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   洞态IAST自动检测S2-007漏洞https://cn-sec.com/archives/342219.html

发表评论

匿名网友 填写信息