CVE ID: CVE-2010-1870
XWork是一个命令模式框架,用于支持Struts 2及其他应用。
XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。
Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将:
user.address.city=Bishkek&user['favoriteDrink']=kumys
转换为:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。
除了获取和设置属性外,OGNL还支持其他一些功能:
* 方法调用:foo()
* 静态方式调用: @java.lang.System@exit(1)
* 构建函数调用:new MyClass()
* 处理上下文变量:#foo = new MyClass()
由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行:
* OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true)
* SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false)
为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量:
* #application
* #session
* #request
* #parameters
* #attr
* #context
* #_memberAccess
* #root
* #this
* #_typeResolver
* #_classResolver
* #_traceEvaluations
* #_lastEvaluation
* #_keepLastEvaluation
这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值:
#_memberAccess['allowStaticMethodAccess'] = true
#foo = new java .lang.Boolean("false")
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo
#rt = @java.lang.Runtime@getRuntime()
#rt.exec('mkdir /tmp/PWNED')
1