mvc与s2-001漏洞的理解

• 1. 什么是mvc
• • 1.1 model
  • 1.2 controller
  • 1.3 view
• 2. struts2漏洞原理
• • 2.1 OGNL
  • 2.2 expression
  • 2.3 root
  • 2.4 content
• 3. S2-001的理解
• 4. 其他
• 参考文章

mvc分为三部分，model、view、controller，是一种软件设计典范。

负责数据处理，并将处理结果返回给view显示出来。

负责接收view传递的数据，并决定将这些数据传递给哪一个model处理。

与用户进行交互的页面，负责将用户输入的数据传递给controller，或者显示model处理后的结果。

mvc框架下，数据从view层直接传递到controller层是会出问题的。

1．当数据从View层传递到Controller层时，我们应该保证一个扁平而分散在各处的数据集合能以一定的规则设置到Java世界中的对象树中去。同时，能够灵活的进行由字符串类型到Java中各个类型的转化。

2．当数据从Controller层传递到View层时，我们应该保证在View层能够以某些简易的规则对对象树进行访问。同时，在一定程度上控制对象树中的数据的显示格式。

view层数据是字符串，而controller层数据是java对象。

为了解决数据传输问题，就出现了OGNL，全名是对象图形导航语言，是一个开源的表达式引擎。

可以简单的理解成，一段简单可以设置对象的任意属性或者调用对象的任意方法的代码。

它可以设置Java对象的属性，同时也可以对服务端对象进行修改。

如果有一个我们可控的输入可以实现OGNL解析，在允许自行静态方法的情况下，那么我们就可以执行静态方法，进而执行命令。通过修改memberaccess使得静态方法可以被解析。

(#_memberAccess['allowStaticMethodAccess']=true).(@java.lang.Runtime@getRuntime().exec('calc'))

OGNL由expression、context、root组成。

对可操作的对象具体要做的事情。

默认的操作对象

所有可操作对象的集合

漏洞函数是translateVariables中的while循环。translateVariables可以解析我们传给表单中name的值。

如果我们给password传的值为${1+1}，最终传递给translateVariables的值是${password}，它在函数中的变量名为expression，也就意味着expression=${password}。

1. translateVariables判断expression是不是${开头，}结尾，如果是则继续，如果不是则退出循环。

2. translateVariables先剥离${}这几个符号，然后执行o = findvalue(password)得到o=${1+1}，无论我们选择传递给password什么值，translateVariables第一次执行的时候一定是取出password的值，因为password本身就是一个OGNL表达式，是root上的一个参数。

3. 最终password的值会被传给expression并开始下一轮循环。

4. 因为expression是${1+1}，满足条件，所以会开始第二次循环，同上删除掉${}这几个符号，然后执行o = findvalue(1+1)最终得到o=2。也就意味着1+1这个OGNL表达式被执行了，也就意味着如果我们把1+1换成恶意代码，就实现了RCE。

ValueStack：与action对象一样的对象

ValueStack实例化后就是OgnlValueStack

OgnlValueStack的findValue函数可以解析其中的OGNL表达式。

securityMemberAccess/memberAccess跟是否能调用静态方法有关系。

OGNL表达式注入漏洞总结

【Struts2-命令-代码执行漏洞分析系列】S2-001

struts2历史漏洞分析

浅析 OGNL 的攻防史
Struts2