Struts2 S2-046 漏洞原理分析

时间:2017-03-27 12:44 来源:武松娱乐整理 字体:[ ] 评论:
Struts2 S2-046 漏洞原理分析。Struts2又爆了一个等级为高危的漏洞---S2-046,仔细一看,S2-046和S2-045的漏洞触发点一样,利用方式不一样。不过也因为S2-046和S2-045触发点相同,所以之前通过升级或者打补丁方式修补S2-045漏洞的小伙伴们就不用紧张了,如果是仅针对Content-Type做策略防护的话,还需要对Content-Disposition也加一下策略。当然最好的方式还是升级到最新版。 S2-046漏洞的利用条件是在S2-045的基础上的。S2-046基本利用条件有两点: 1. Content-Type 中包含multipart/form-data 2. Content-Disposition中filename包含OGNL语句 这里解释一下Content-Disposition。Content-disposition 是 MIME 协议的扩展,当浏览器接收到请求头时,它会激活文件下载对话框,请求头中的文件名会自动填充到对应的文本框中。 S2-046有两个利用方式,一个是Content-Disposition的filename存在空字节,另一个是Content-Disposition的filename不存在空字节。其中,当Content-Disposition的filename不存在空字节并想要利用成功的话,还需要满足以下两个条件: a. Content-Length 的长度值需超过Struts2允许上传的最大值(2M),如图。
\
b.数据流需要经过JakartaStreamMultiPartRequest。(需在struts.xml添加配置: ) 需要注意的是,在Struts使用Jakarta默认配置时,数据流并没有经过JakartaStreamMultiPartRequest。根据官方解释,在Struts 2.3.20以上的版本中,Struts2才提供了可选择的通过Streams实现Jakarta组件解析的方式。在Struts 2.3.20以上的版本中,通过Jakarta组件实现Multipart解析的流程可以有两种,一种是默认的Jakarta组件,一种是在struts.xml中主动配置。而只有在struts.xml中添加了相应配置,数据流才会经过JakartaStreamMultiPartRequest。 下图分别为Struts 2.3.8和Struts 2.3.24.1的multipart部分的源码包。可以看到Struts 2.3.24.1比Struts 2.3.8新增了一个文件JakartaStreamMultiPartRequest。所以,如果构造的poc中Content-Disposition的filename不存在空字节,则它的影响版本为2.3.20以上的版本。
\
源码分析 以下源码分析基于Struts 2.3.24.1,我们根据利用方式不同分析下这两个数据流的执行过程。 Content-Disposition的filename存在空字节 对上传的文件解析
\
创建拦截器后解析header,如图:Content-Type和Content-Disposition都在此解析。
\
Filename从Content-Disposition获取。
\
解析到filename后,会对文件名进行检查,若Content-Disposition的filename存在空字节时,则会抛出异常。如图。
\
最后进入到触发点。
\
Content-Disposition的filename不存在空字节 这个利用方式有一个条件是Content-Length 的长度需超过Struts允许上传的最大长度,并且数据流要经过JakartaStreamMultiPartRequest,这是因为JakartaStreamMultiPartRequest和JakartaMultiPartRequest对Content-Length的异常处理方式不一样。当数据经过JakartaStreamMultiPartRequest时,判断长度溢出后,进入addFileSkippedError(),如下图。这里注意,addFileSkippedError有一个参数为itemStream.getName,会对filename进行检查,如果filename中存在空字节, 则和上一个利用方法的数据流一样,在checkFileName()就抛出异常,不会再进入到addFileSkippedError()了。
\
跟进addFileSkippedError()可以看到, buildErrorMessage()抛出异常时调用了filename,这个filename就是通过Content-Disposition传递的filename。而buildErrorMessage()就是漏洞触发点,传递来的filename被解析,形成了漏洞。
\
而在JakartaMultiPartRequest数据流中,在判断长度后,抛出的异常中并没有包含文件名解析,如下图。所以漏洞就不会被触发了。
\
Top_arrow
武松娱乐注册