官方链接: https://cwiki.apache.org/confluence/display/WW/S2-001
影响版本: WebWork 2.1 (启用 altSyntax), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8
默认开启 altSyntax
#三、复现
环境:Apache-tomcat-9.0.37 、 jdk1.8.0_261 、 支柱 2.0.1
坑点:
○ 进行表单验证时 500 报错: java.lang.NoClassDefFoundError: org/apache/struts2/spi/RequestContext ,加入 struts2-api 的 jar 包即可办理。○ 找不到 struts-default.xml ,在 Project Structure 的 Facet 中 File Set 编辑并引进来。1、首先创建一个 struts2 的项目 ...(实在网上有,就不贴图了)
2、构造如下图,在 WEB-INF 下创建 lib ,将六个 jar 包复制过来,并将其 Add as Library ,在 Project Structure 的 Artifacts 将其 put into output root 即可。
3、在 index.jsp 中添加一个 struts 的 form 标签。
4、修正支柱.xml文件。如下图,验证出错重新回到 index.jsp ,成功则进入 welcome.jsp
5、LoginAction.java :默认会实行 实行方法,有 用户名 、 password 两个属性(和 jsp 文件中表单的 name 保持同等)同时配置其各自的 set 、get 方法( struts 都是通过反射去得到或设置属性值)
6、欢迎光临.jsp
7、运行
【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回答“资料领取”获取——】1.网络安全多个方向学习路线2.全网最全的CTF入门学习资料3.一线大佬实战履历分享条记4.网安大厂口试题合集5.红蓝对抗实战技能秘籍6.网络安全根本入门、Linux、web安全、渗透测试方面视频
#四、剖析
首先在进入到 LoginAction 之前,会由 FilterDispatcher 创建一个 ActionProxy 根据 struts.xml 中的配置找到处理该要求的 Action ,接着默认会实行 18 个拦截器,在拦截器中初始化值栈,将 Action 相应参数值压入栈。进入 Action 后根据逻辑返回对应视图。
这里在表单验证出错后返回 index.jsp 页面,而此时的 用户名 、 password 已压入栈中,在将其取出时若开启了 altSyntax 则进行递归解析。
在解析的过程中,会调用 ComponentTagSupport 的 doStartTag 及 doEndTag 方法对标签内容进行解析,在解析到表单中 name 为 username 的数据时,首先获取到 username 在值栈中的值。
返回给 com.opensymphony.xwork2.util.TextParseUtil#translateVariables 中的 o ,而此时的 o 将再次作为表达式传入 translateVariables 方法中进行解析(他的循环条件为 true )。
再次进入 findValue 方法,进行解析
终极在 ognl.Ognl#getValue 中得到结果值。
#五、修复官方建议:升级到 Struts 2.0.9 / XWork 2.0.4
关键代码:设置最大循环解析次数为 1 次,通过最开始的 %{…} 找到表单的属性值后,不再往下循环解析。不再往下循环解析是通过 pos 变量来掌握下次从哪个索引开始检索表达式,当前属性值已经解析一次,pos 值则设置为当前属性值的长度,故解析了一次的表达式不再解析第二次。
#疑问???• 除了 form 标签可以解析 ognl 表达式之外,其他标签是不是也可以解析 ognl 表达式。在业务功能上表示的话便是可由用户输入,且将其用户输入再次呈现的地方。
• 为什么漏洞修复不能直接在 拦截器 的步骤中将用户输入的 形如 %{} 的表达式直接剔除
○ 这里直接转发到 index.jsp 页面不由 struts2 吸收要求,故不能在拦截器层面将其拦截。○ 提出这个问题是由于以为这种修复该当在没进入正式业务前做,比如这里的拦截器层面。但是后来细想还是有很多欠妥。上面回答的点也有些欠妥,由于最开始进入到 LoginAction 是可以进行拦截的。而后面对 index.jsp 中的标签进行解析时涌现问题。奥杰兹