重现Struts1的操纵classLoader漏洞

时间：2014-05-15 19:52:36 阅读：289 评论：0 收藏：0 [点我收藏+]

注：本文仅限技术研究，探讨，测试使用.

2014年4月29日爆出的struts的可操纵classLoader的漏洞，横跨struts1和struts2的所有版本。影响面和问题的严重性几乎可以和heartbleed相媲美。 struts2要严重一些，对于struts1，只是说在特定条件下可执行特殊操作。

因为项目中用的是struts1，所以主要精力集中在struts1上。既然要修复漏洞，首先得找出POC给老板看，这类漏洞一般网上不会给出直接的POC，于是就动手捣鼓一番。建立一个简单的struts1项目，包含一个Action和ActionForm即可。启用debug模式部署项目到tomcat等容器。然后在action的任意位置加一个断点，然后通过浏览器访问该action。既然说是"操纵classLoader"，我马上想到的是struts自动封装表单用到反射，在断点附近寻找ActionForm的class的classLoader的属性列表，看看有谁的名字听起来是可操纵的。最初我就发现了这个：clearReferencesHttpClientKeepAliveThread .于是有如下的url和截图：
http://localhost:8080/Struts1/helloWorld.do?class.classLoader.clearReferencesHttpClientKeepAliveThread=false
bubuko.com,布布扣

http://localhost:8080/Struts1/helloWorld.do?class.classLoader.clearReferencesHttpClientKeepAliveThread=true
bubuko.com,布布扣

至此classLoader操作成功，尽管clearReferencesHttpClientKeepAliveThread是一个暂时看起来不太危险的classLoader属性。

我看到部分资料说该漏洞在jetty7 下可关闭jetty服务器，我也试了，可以，你可以把项目部署到jett7，然后用如下url：
http://localhost:8080/Struts1/helloWorld.do?class.classloader.context.shutdown=true
一旦class.classloader.context.shutdown被输入，则后续的所有请求都只能收到404，要想恢复的唯一办法就是重启jetty。
如图：
bubuko.com,布布扣

还有更多的其他的POC比如在tomcat8下可下载任意文件，在其他情况下可执行code等待，我就没有一一证明。

因为struts1在该漏洞发出后， apache宣布struts1即将EOL，所以我们也不打算花太多精力搞个威猛的方案出来，用了一个filter来检查请求参数是否包含“class.*”完事。代码片段如下：

public static final String classLoaderManipulatorParamReg = "(class\\.)|(class.classLoader\\.)" ;
public static final Pattern classLoaderManipulatorParamPattern = Pattern.compile(classLoaderManipulatorParamReg);

Enumeration<String> params = request.getParameterNames();
while(params.hasMoreElements()){
	String key = params.nextElement();
	Matcher matcher = classLoaderManipulatorParamPattern.matcher(key);
	if(matcher.find()){
		System.out.println("suspicious parameters: " + key + ", removed from the parameter list.");
		req.setAttribute("msg", key+"=" + req.getParameter(key));
		request.getRequestDispatcher("unsafeRequest.jsp").forward(req, response);
		
		//logger.warn(this, "suspicious parameter: " + key);
		
		// 需替换尖括号以防止反射型的XSS漏洞
		String kvPair = (key+"=" + req.getParameter(key)).replaceAll("<", "& lt;").replaceAll(">","& gt;");
		
		/* 
		 * 这里需要注意：如果用以下方式重定向到出错页面, 极有可能导致递归的filter调用从而进入死循环。
		 * request.getRequestDispatcher("unsafeRequest.jsp").forward(req, response);
		 * 如果你想走到一个单独的出错页面来显示错误信息， 需要谨慎处理。
		 * 我们这里就简单的直接输出出错信息到response.
		*/
		response.getWriter().write("Malicious parameter detected: " + kvPair);
		response.getWriter().flush();
		return;
	}
}

你可以在这里下载ｓｔｒｕｔｓ１样例程序: http://download.csdn.net/detail/sunxing007/7350433。如要重现POC，请先把web.xml中SecurityFilter去掉。

转载请注明来自： http://blog.csdn.net/sunxing007

重现Struts1的操纵classLoader漏洞,布布扣,bubuko.com

重现Struts1的操纵classLoader漏洞

标签：style blog class code java c

原文地址：http://blog.csdn.net/sunxing007/article/details/25885429

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行