原由

struts官方照例更新补丁，这次更新（了）061，从官方通告上来看与059相似，059‘的通’告类似029与036，既然这样，那勇敢预测一下，059 若是修[复（了），061大概率会是补丁绕过，这里贴一个官方通告地址，利便人人自行查阅：

https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

跟踪

进一步跟踪struts （版本）改动[，获得以下可能存在的破‘绽点以’及类似黑名单：

〖凭据官方形貌〗，上述为黑名单机制，匹配其中的包名，固然另有类名，由于太长（了），这里就不贴（了）。OK，既然看到类似的破绽点（了），不剖析一下怎么可以呢，到此打开idea，maven导入struts2.5.26（版本），剖析过029的对此类应该不生疏，属于二次ognl表达{式}执行，<看一下官方对此方{式}的>修复情况若何

public static boolean containsExpression(String expr) {
        return expr != null && expr.contains("%{") && expr.contains("}");
    }

对应上图可以看到若是expr中存在%{和}时会返回true，「就不」会对expr“举行嵌套”。更一步确定（了），这次修复一定还与二次ognl{表达}{式}有关。由此可知，这次061为059‘的补丁绕过’。接下来最先惊心动魄的〖组织〗poc阶段

〖组织〗

首先搭建环境，这里为（了）给广明白帽子一个福利，啥下载官方all<包（了）>，啥maven导（版本）然后再建立xml（了），通通不用，直接使用idea官方maven create from archetype，如下图所示，直接一键操作搭建

建立完成后，需要对index.jsp举行一点点革新，写入特定标签

,

‘欧博网址’_ALLbet6.com

欢迎进入‘欧博网址’（Allbet Gaming）:www.aLLbetgame.us，‘欧博网址’开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。

,

<!DOCTYPE html PUBLIC
    "-//W3C//DTD XHTML 1.1 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<%@taglib prefix="s" uri="/struts-tags" %>
<%
    String payload = request.getParameter("payload");
    request.setAttribute("payload",payload);
%>
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
    <title>Index</title>
    <s:head />
</head>
<body>
<s:a id="%{，request.payload}">testurl</s:a>
    <s:form action="helloWorld">
        <s:textfield label="What is your name?" name="name" />
        <s:textfield label="What is the date?" name="dateNow" />
        <s:submit />
    </s:form>
</body>
</html>

《这时》若是不领会struts框架的人就会踩到第一个坑（了），包罗我（菜鸡哭泣），此时传入payload{字符会显}示无法处置，这是由于此处关联（了）index.action，需要在index.action中增添一些方{式}，这里直接贴出

import com.opensymphony.xwork2.ActionSupport;
import java.util.Date;
import com.opensymphony.xwork2.conversion.annotations.Conversion;
import com.opensymphony.xwork2.conversion.annotations.TypeConversion;

@Conversion()
public class IndexAction extends ActionSupport {
    private String payload;
    private Date now = new Date(System.currentTimeMillis());

    @TypeConversion(converter = "Struts2.DateConverter")
    public Date getDateNow() { return now; }

    public String getPayload(String payload){
        return payload;
    }

    public void setPayload(String payload){
        this.payload=payload;
    }

    public String execute() throws Exception {
        now = new Date(System.currentTimeMillis());
        return SUCCESS;
    }
}

由此环境搭建完毕，可以最先愉快的调试之旅啦。这里需要对之前的破绽有一定领会，推荐天融信的文章，剖析的很好，链接放到最后。<第一步>，《获取》struts.valueStack，通过request全局变量。这一步，没有问题， 第二步[，最先正儿八经绕过《获取》context工具的限制，〖接纳〗application「根变量」，《获取》org.apache.tomcat.InstanceManager到DefaultInstanceManager类，虽然推荐文章剖析的很好（了），然则这边烦琐一下，贴出对应需要挪用的方{式}

public Object newInstance(String className) throws IllegalAccessException, InvocationTargetException, NamingException, InstantiationException, ClassNotFoundException {
        Class<?> clazz = this.loadClassMaybePrivileged(className, this.classLoader);
        return this.newInstance(clazz.newInstance(), clazz);
    }

「固然光写」，不贴图，也感受不到调试的兴趣，于是这里贴图，若何《获取》需要的类和挪用它的方{式}

看到上述回显，高高兴兴最先下一阶段，进一步通过org.apache.commons.collections.BeanMap的setBean和get方{式}《获取》context，这时第二个坑遇到（了），这个坑会让你甚至以为 之前[做的全都有错，同样用贴图，表述问题

既然内存溢出（了），这简直是懵逼，没办法源代码调试吧，〖通过〗跟踪setBean方{式}，确认数据准确压入Map中，问题出在get方{式}中，‘考察挪用链’，太长详细就不贴（了），可以考察到在《获取》context时首先会是root工具，root工具同时又是根工具，这样就会导致，root工具《获取》root工具，发生死循环，导致内存溢出。以是我们需要将现在《获取》到的context再次压入Map中，《获取》其他属性。以是，接着〖组织〗，这时已经拿到（了）context工具，ok，接下来就是操作context工具去笼罩strust的黑名单。首先《获取》到黑名单类

<看到响应体>，〖离乐成已经很靠近啦〗，接下来只需将平安沙箱置空，直接挪用一波struts黑名单中的类，完成代码执行，接下来的就不操作（了），太多民众号有写（了）。

参考文章：
Struts2 S2-061破绽剖析(CVE-2020-17530): https://mp.weixin.qq.com/s/RD2HTMn-jFxDIs4-X95u6g

电银付声明:该文看法仅代表作者自己，与本平台无关。转载请注明：电银付小盟主（dianyinzhifu.com）："踩坑"S2-061〖复〗现与思索