百度脑图：目录

1. 万年漏洞王又出事了。。。

17年三月份，Struts2再一次被爆出一个严重的漏洞S2-045，上传文件时可能存在RCE（Remote Code Execution）。由于涉及到的文件上传模块(Jakarta Multipart parser)是Struts2的默认配置，所以这一漏洞影响范围非常广泛。上一次影响范围如此大的漏洞是13年的s2-013。而且从Struts2的Security Bulletins列表中可以看到，remote command execution和Remote Code Execution这样的字眼经常出现，这篇博客在分析最近这次漏洞原理的基础上，也会探究一个重要的问题：为什么Struts2总是出现漏洞？

2. S2-045原因简析

2.1 漏洞触发原理

这个漏洞的主要涉及到的是文件上传功能，我们知道在上传文件的时候，一般请求对象request的header中的contentType字段是multipart/form-data或multipart/mixed，如果有人构造一个错误的contentType，那么Struts2会抛出异常,下面是在parse request对象的时候可能抛出异常的部分：

String contentType = ctx.getContentType();
if ((null == contentType)
        || (!contentType.toLowerCase(Locale.ENGLISH).startsWith(MULTIPART))) {
        throw new InvalidContentTypeException(
        format("the request doesn't contain a %s or %s stream, content type header is %s",
                    MULTIPART_FORM_DATA, MULTIPART_MIXED, contentType));
}

其实这个验证流程没有问题，问题出在抛出异常后的处理。Struts2中使用的是JakartaMultiPartRequest用于封装文件上传请求，下面是JakartaMultiPartRequest的parse方法，该方法主要用于实现文件上传，其中包括上面说到的请求内容的验证过程，如果如上所述contentType出现错误，那么processUpload会抛出InvalidContentTypeException异常，如下：

    public void parse(HttpServletRequest request, String saveDir) throws IOException {
        try {
            setLocale(request);
            processUpload(request, saveDir);//验证出错，抛出InvalidContentTypeException异常
        } catch (FileUploadBase.SizeLimitExceededException e) {
            //process SizeLimitExceededException
        } catch (Exception e) {
            //InvalidContentTypeException在这里被catch住
            String errorMessage = buildErrorMessage(e, new Object[]{});//漏洞源
            if (!errors.contains(errorMessage)) {
                errors.add(errorMessage);
            }
        }
    }

重点在于struts2在catch块中对于异常的处理过程。可见这里调用了buildErrorMessage对异常进行处理，返回一个String类型的errorMessage。下面是buildMessage中的简易调用关系图：

buildMessage调用逻辑

可以看到，最终的解析任务落到了ValueStack对象上。ValueStack组件是Struts2中非常重要的组成部分，该组件的功能就是作为一个表达式引擎，解决MVC框架中普遍存在的数据转换问题。其默认实现是基于Ognl的OgnlValueStack。Ognl是一个功能强大的表达式引擎，潜在的恶意代码就是在该表达式引擎中被执行。下面重点分析下Struts2中使用的表达式引擎OGNL。

2.2 Ognl：这个锅俺不背

Struts2出现的漏洞大多与RCE(Remote Code Execution）有关，request中都是文本形式的数据，怎么会被执行了呢？这就不得不说Ognl了。

2.2.1 什么是Ognl？

OGNL(Object-Graph Navigation Language)是一个开源的表达式引擎，我们可以通过Ognl来存取Java对象
的任意属性，也可以调用Java对象的方法。下面是表达式引擎的简单示意图：

表达式引擎示意图

2.2.2 为什么需要Ognl？

要弄清楚这个问题，还得回到MVC模式本身。MVC模式面临着数据在不同组件中的不断流转的事实，比如：在Model中数据表现形式为Java对象，而Java世界中具有丰富的数据类型（List、Map、Set等）。可是在View层中，数据表现为字符串，其目的仅仅是为了展示内容。这就造成了数据形式不匹配的问题，那么怎么解决呢？这就需要一个"翻译"：表达式引擎。如：Ognl，SpringEL等。

下面通过几个简单的实例看下通过Ognl可以做什么？

首先自定义OgnlExpression，对Ognl的部分功能进行封装。如下：

public class OgnlExpression {
    
    private Object expression;
    
    public OgnlExpression(String expressionString) throws OgnlException{
        expression = Ognl.parseExpression(expressionString);
    }
    public Object getExpression(){
        return this.expression;
    }

    public Object getValue( OgnlContext context, Object rootObject )
        throws OgnlException
    {
        return Ognl.getValue( getExpression(), context, rootObject );
    }

    public void setValue( OgnlContext context, Object rootObject, Object value )
        throws OgnlException
    {
        Ognl.setValue(getExpression(), context, rootObject, value);
    }
}

示例一，利用Ognl访问对象属性、调用对象方法：

        String expression = "[1].toCharArray()[2]";
        OgnlExpression ognlExpr = new OgnlExpression(expression);
        
        String arr[] = {"struts2","ognl","action"};
        OgnlContext context = new OgnlContext();
        context.put("arr", arr);
        
        System.out.println(ognlExpr.getValue(context, arr));

输出：