0x01 前言
复现一下 S2-002 的洞
0x02 S2-002
漏洞简介
Struts2-002 是一个 XSS 漏洞,该漏洞发生在 s:url 和 s:a 标签中,当标签的属性 includeParams=all 时,即可触发该漏洞。
漏洞影响版本
Struts 2.0.0 - Struts 2.1.8.1
0x03 环境搭建
如果不想手动搭建的话,环境我已经配好了 https://github.com/Drun1baby/JavaSecurityLearning/tree/main/JavaSecurity/Struts2/S2-002AndS2-006
因为 s2-002 的洞是一个 XSS,与处理的 Action 没有任何关系,所以这里我们只需要配置 .jsp 文件,以及 .xml 文件
resources 文件夹下
struts.xml- <?xml version="1.0" encoding="UTF-8"?>
-
- <!DOCTYPE struts PUBLIC
- "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
- "http://struts.apache.org/dtds/struts-2.0.dtd">
-
- <struts>
- <package name="S2-002" extends="struts-default">
- <action name="login" method="execute">
- <result name="success">welcome.jsp</result>
- <result name="error">index.jsp</result>
- </action>
- </package>
- </struts>
webapp 文件夹下
index.jsp- <%@ page language="java" contentType="text/html; charset=UTF-8"
- pageEncoding="UTF-8"%>
- <%@ taglib prefix="s" uri="/struts-tags" %>
-
- <html>
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
- <title>S2-002</title>
- </head>
- <body>
- <h2>S2-002 Demo</h2>
- <s:url action="login" includeParams="all"></s:url>
- <s:a href="%{url}">click</s:a>
- </body>
- </html>
- <%@ page language="java" contentType="text/html; charset=UTF-8"
- pageEncoding="UTF-8"%>
- <%@ taglib prefix="s" uri="/struts-tags" %>
-
- <html>
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
- <title>S2-002</title>
- </head>
- <body>
- <p>Hello <s:property value="username"></s:property></p>
- </body>
- </html>
- <!DOCTYPE web-app PUBLIC
- "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
- "http://java.sun.com/dtd/web-app_2_3.dtd" >
-
- <web-app>
- <display-name>S2-002 Example</display-name>
- <filter>
- <filter-name>struts2</filter-name>
- <filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>struts2</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <welcome-file-list>
- <welcome-file>index.jsp</welcome-file>
- </welcome-file-list>
- </web-app>
[img=400,498.7128]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505205.png[/img]
0x04 漏洞复现与分析
- http://localhost:8080/?%22%3E%3Cscript%3Ealert(1)%3C/script%3E%3C%22
漏洞分析
之前自己也没有分析过 XSS 相关的漏洞,在最后我会做一个小结来思考一下如何自己挖掘出这个漏洞
我们先下一个断点在 org.apache.struts2.views.jsp.ComponentTagSupport#doStartTag() 方法处,开始调试
[img=720,276.0669815371404]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505208.png[/img]
当在 JSP 文件中遇到 Struts2 标签 结束标签的时候调用 doEndTag() 方法。
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
进入到了 index.jsp
[img=720,373.9764705882353]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505209.png[/img]
跟进 this.component.start()
[img=720,344.4906234161176]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505210.png[/img]
在 index.jsp 中 includeParams=all,往下看代码知道 88 行,跟进 mergeRequestParameters() 方法
在 includeParams=all 的情况下会调用 mergeRequestParameters() 将 Tomcat 处取来的参数,这里取到了我们输入的 payload,并且保存在 this.parameters 中
[img=720,305.5774647887324]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505211.png[/img]
mergeRequestParameters() 方法运行完毕,往下是 includeGetParameters() 方法,也跟进去看一下;发现也是调用了 mergeRequestParameters(),同样是保存在了 this.parameters 中,不过这一次保存的是经过 url 编码的数据
[img=720,286.36720453554295]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505212.png[/img]
继续往下,程序还调用了 includeExtraParameters() 方法,跟进;这里的意思是如果有额外的参数,会被保存进这里,然后再保存到 this.paramters
[img=720,299.7564276048715]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505213.png[/img]
其实到这里漏洞出发点就来了,第一次调用 mergeRequestParameters() 方法的时候那一段参数是未经过 URL 编码的,从而产生了 XSS
在执行完毕 doStartTag() 方法之后,会去到 doEndTag() 方法,我们跟进 this.component.end(),this.component 是 URL 类,所以也就是调用了 URL.end()
[img=720,318.54330708661416]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505214.png[/img]
往下走,第 146 行,判断目前调度器(Dispatcher)的实例是否支持这一 Struts2 组件的行为,并且判断这一个请求是否需要 Struts2 组件调用某 Action 来处理;如果不需要调用 Action 处理,则直接进入 buildUrl() 的代码逻辑,如果需要 Action 来处理,会先去选择/调用 Action,再进行后续操作。
其实也就是 Struts2 运行的基本逻辑
[img=720,301.67966957319874]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505215.png[/img]
此处因为我们定义了 action=login,所以进入到了 else 的代码逻辑,跟进 this.determineActionURL() 方法
[img=720,290.25]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505216.png[/img]
determineActionURL() 方法先定位到了对应的 action,再进行 buildUrl() 的操作,跟进 buildUrl()
[img=720,311.35135135135135]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505217.png[/img]
再跟进
[img=720,338.42055185537583]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505218.png[/img]
此时的 params 即将会被拿去拼接,造成触发 XSS 漏洞
[img=720,358.2067247820672]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505219.png[/img]
具体拼接是在 115 行的 buildParametersString() 方法,跟进再跟进
[img=720,285.4736842105263]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202303031505220.png[/img]
至此,漏洞分析结束
漏洞修复
修改 pom.xml,将 Struts2 版本提升至 2.0.11(这是根据公告的,其实并没有真正解决漏洞)
经过对 2.0.11.1 的代码阅读,在 UrlHelper 类 buildUrl() 方法里,第 136 行增加了如下修复代码:- // link是最终的生成的url
- for(result = link.toString();
- result.indexOf("<script>") > 0;
- result = result.replaceAll("<script>", "script")) {
- }
0x05 小结
因为是 XSS 漏洞,成因基本都是未进行 URL 编码或某种转码,所以我们可以去看处理参数的过程进行漏洞挖掘。
S2-002 还是比较简单的一个漏洞。
更多靶场实验练习、网安学习资料,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
