1. 万年漏洞王又出事了。。。
17年三月份,Struts2再一次被爆出一个严重的漏洞S2-045,上传文件时可能存在RCE(Remote Code Execution)。由于涉及到的文件上传模块(Jakarta Multipart parser)是Struts2的默认配置,所以这一漏洞影响范围非常广泛。上一次影响范围如此大的漏洞是13年的s2-013。而且从Struts2的Security Bulletins列表中可以看到,remote command execution和Remote Code Execution这样的字眼经常出现,这篇博客在分析最近这次漏洞原理的基础上,也会探究一个重要的问题:为什么Struts2总是出现漏洞?
2. S2-045原因简析
2.1 漏洞触发原理
这个漏洞的主要涉及到的是文件上传功能,我们知道在上传文件的时候,一般请求对象request的header中的contentType字段是multipart/form-data或multipart/mixed,如果有人构造一个错误的contentType,那么Struts2会抛出异常,下面是在parse request对象的时候可能抛出异常的部分:
String contentType = ctx.getContentType();
if ((null == contentType)
|| (!contentType.toLowerCase(Locale.ENGLISH).startsWith(MULTIPART))) {
throw new InvalidContentTypeException(
format("the request doesn't contain a %s or %s stream, content type header is %s",
MULTIPART_FORM_DATA, MULTIPART_MIXED, contentType));
}
其实这个验证流程没有问题,问题出在抛出异常后的处理。Struts2中使用的是JakartaMultiPartRequest用于封装文件上传请求,下面是JakartaMultiPartRequest的parse方法,该方法主要用于实现文件上传,其中包括上面说到的请求内容的验证过程,如果如上所述contentType出现错误,那么processUpload会抛出InvalidContentTypeException异常,如下:
public void parse(HttpServletRequest request, String saveDir) throws IOException {
try {
setLocale(request);
processUpload(request, saveDir);//验证出错,抛出InvalidContentTypeException异常
} catch (FileUploadBase.SizeLimitExceededException e) {
//process SizeLimitExceededException
} catch (Exception e) {
//InvalidContentTypeException在这里被catch住
String errorMessage = buildErrorMessage(e, new Object[]{});//漏洞源
if (!errors.contains(errorMessage)) {
errors.add(errorMessage);
}
}
}
重点在于struts2在catch块中对于异常的处理过程。可见这里调用了buildErrorMessage对异常进行处理,返回一个String类型的errorMessage。下面是buildMessage中的简易调用关系图:
可以看到,最终的解析任务落到了ValueStack对象上。ValueStack组件是Struts2中非常重要的组成部分,该组件的功能就是作为一个表达式引擎,解决MVC框架中普遍存在的数据转换问题。其默认实现是基于Ognl的OgnlValueStack。Ognl是一个功能强大的表达式引擎,潜在的恶意代码就是在该表达式引擎中被执行。下面重点分析下Struts2中使用的表达式引擎OGNL。
2.2 Ognl:这个锅俺不背
Struts2出现的漏洞大多与RCE(Remote Code Execution)有关,request中都是文本形式的数据,怎么会被执行了呢?这就不得不说Ognl了。
2.2.1 什么是Ognl?
OGNL(Object-Graph Navigation Language)是一个开源的表达式引擎,我们可以通过Ognl来存取Java对象
的任意属性,也可以调用Java对象的方法。下面是表达式引擎的简单示意图:
表达式引擎示意图
2.2.2 为什么需要Ognl?
要弄清楚这个问题,还得回到MVC模式本身。MVC模式面临着数据在不同组件中的不断流转的事实,比如:在Model中数据表现形式为Java对象,而Java世界中具有丰富的数据类型(List、Map、Set等)。可是在View层中,数据表现为字符串,其目的仅仅是为了展示内容。这就造成了数据形式不匹配的问题,那么怎么解决呢?这就需要一个"翻译":表达式引擎。如:Ognl,SpringEL等。
下面通过几个简单的实例看下通过Ognl可以做什么?
首先自定义OgnlExpression,对Ognl的部分功能进行封装。如下:
public class OgnlExpression {
private Object expression;
public OgnlExpression(String expressionString) throws OgnlException{
expression = Ognl.parseExpression(expressionString);
}
public Object getExpression(){
return this.expression;
}
public Object getValue( OgnlContext context, Object rootObject )
throws OgnlException
{
return Ognl.getValue( getExpression(), context, rootObject );
}
public void setValue( OgnlContext context, Object rootObject, Object value )
throws OgnlException
{
Ognl.setValue(getExpression(), context, rootObject, value);
}
}
示例一,利用Ognl访问对象属性、调用对象方法:
String expression = "[1].toCharArray()[2]";
OgnlExpression ognlExpr = new OgnlExpression(expression);
String arr[] = {"struts2","ognl","action"};
OgnlContext context = new OgnlContext();
context.put("arr", arr);
System.out.println(ognlExpr.getValue(context, arr));
输出:
