Java Struts2 学习与环境搭建 | 您所在的位置:网站首页 › green hell 教程 › Java Struts2 学习与环境搭建 |
Java Struts2 学习与环境搭建 0x01 前言写一篇防止其他师傅们踩坑的环境搭建文章哈哈,因为网上关于 struts2 的搭建坑比较多 0x02 Struts2 基础Struts2 简介Apache Struts2 是一个非常优秀的 JavaWeb MVC 框架,2007年2月第一个 full release 版本发布,直到今天,Struts 发布至 2.5.26 版本,而在这些版本中,安全更新已经更新至 S2-061,其中包含了非常多的 RCE 漏洞修复。 关于 Struts2 开发的教程其实很少,因为 Struts2 已经处于一个濒临淘汰的阶段,用的人已是甚少。下面说一说我个人对于 Struts2 的一些理解: 参考资料:Struts2入门这一篇就够了,写的非常好。 Struts2 比较像是 Spring 和 SpringMVC 的一个中间产物,它需要写一些比较复杂的 Spring 配置 xml(这种 xml 很容易写吐……);而它又具有 SpringMVC 的特性,但是并未较好的实现。所以有了我前面的思考 ———— Struts2 比较像是 Spring 和 SpringMVC 的一个中间产物。Struts1 和 Struts2 在技术上是没有很大的关联的。 Struts2 其实基于 Web Work 框架的,只不过它的推广没有 Struts1 好,因此就拿着 Struts 这个名气推出了 Struts2 框架。 Struts2 执行流程Struts2 是一个基于 MVC 设计模式的Web应用框架,它的本质就相当于一个 servlet,在 MVC 设计模式中,Struts2 作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是在 Struts 和WebWork 的技术的基础上进行合并的全新的框架。Struts2 以 WebWork 为核心,采用拦截器的机制来处理的请求。这样的设计使得业务逻辑控制器能够与 ServletAPI 完全脱离开。 对 Struts2 的执行流程简单说明Filter:首先经过核心的过滤器,即在 web.xml 中配置的 filter 及 filter-mapping,这部分通常会配置 /* 全部的路由交给 struts2 来处理。Interceptor-stack:执行拦截器,应用程序通常会在拦截器中实现一部分功能。也包括在 struts-core 包中 struts-default.xml 文件配置的默认的一些拦截器。配置Action:根据访问路径,找到处理这个请求对应的 Action 控制类,通常配置在 struts.xml 中的 package 中。最后由 Action 控制类执行请求的处理,执行结果可能是视图文件,可能是去访问另一个 Action,结果通过 HTTPServletResponse 响应。如何实现 Action 控制类通常有以下的方式 Action 写为一个 POJO 类,并且包含 excute() 方法。Action 类实现 Action 接口。Action 类继承 ActionSupport 类0x03 环境搭建IDEA 选中 web-app,一路 yes 导入 Struts2 的核心依赖 org.apache.struts struts2-core 2.0.8再修改 web.xml,在这里主要是配置 Struts2 的过滤器。 S2-001 Example struts2 org.apache.struts2.dispatcher.FilterDispatcher struts2 /* index.jsp后续内容都是摘自 Y4tacker 师傅的文章了 https://github.com/Y4tacker/JavaSec/blob/main/7.Struts2%E4%B8%93%E5%8C%BA/%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA/%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA.md main 下添加 Java 目录并创建类 package com.test.s2001.action; import com.opensymphony.xwork2.ActionSupport; public class LoginAction extends ActionSupport{ private String username = null; private String password = null; public String getUsername() { return this.username; } public String getPassword() { return this.password; } public void setUsername(String username) { this.username = username; } public void setPassword(String password) { this.password = password; } public String execute() throws Exception { if ((this.username.isEmpty()) || (this.password.isEmpty())) { return "error"; } if ((this.username.equalsIgnoreCase("admin")) && (this.password.equals("admin"))) { return "success"; } return "error"; } }然后,在 webapp 目录下创建&修改两个文件 —— index.jsp&welcome.jsp,内容如下。 index.jsp S2-001 S2-001 Demowelcome.jsp S2-001Hello 然后在 main 文件夹下创建一个 resources 文件夹,内部添加一个 struts.xml,内容为: welcome.jsp index.jsp最后配置 web.xml S2-001 Example struts2 org.apache.struts2.dispatcher.FilterDispatcher struts2 /* index.jsp再配置 tomcat,就起来了。 测试成功 0x04 OGNL 表达式OGNL 是 Object-Graph Navigation Language 的缩写,它是一种功能强大的表达式语言(Expression Language,简称为 EL),通过它简单一致的表达式语法,可以存取对象的任意属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。它使用相同的表达式去存取对象的属性。 这是很官方的说法,说白了就是 EL 表达式,因为之前学过一点 EL 表达式,其实 OGNL 表达式,还有 S2 系列漏洞的 payload 都非常像 EL 表达式。OGNL 三要素表达式(Expression): 表达式是整个 OGNL 的核心内容,所有的 OGNL 操作都是针对表达式解析后进行的。通过表达式来告诉 OGNL 操作到底要干些什么。因此,表达式其实是一个带有语法含义的字符串,整个字符串将规定操作的类型和内容。OGNL 表达式支持大量的表达式,如 “链式访问对象”、表达式计算、甚至还支持 Lambda 表达式。 Root 对象: OGNL 的 Root 对象可以理解为 OGNL 的操作对象。当我们指定了一个表达式的时候,我们需要指定这个表达式针对的是哪个具体的对象。而这个具体的对象就是 Root 对象,这就意味着,如果有一个 OGNL 表达式,那么我们需要针对 Root 对象来进行 OGNL 表达式的计算并且返回结果。 上下文环境: 有个 Root 对象和表达式,我们就可以使用 OGNL 进行简单的操作了,如对 Root 对象的赋值与取值操作。但是,实际上在 OGNL 的内部,所有的操作都会在一个特定的数据环境中运行。这个数据环境就是上下文环境(Context)。OGNL 的上下文环境是一个 Map 结构,称之为 OgnlContext。Root 对象也会被添加到上下文环境当中去。说白了上下文就是一个 MAP 结构,它实现了 java.utils.Map 的接口。 OGNL 的基础使用导入 pom.xml ognl ognl 3.1.19我们先创建两个实体类 Address.java package pojo; public class Address { private String port; private String address; public Address(String port,String address) { this.port = port; this.address = address; } public String getPort() { return port; } public void setPort(String port) { this.port = port; } public String getAddress() { return address; } public void setAddress(String address) { this.address = address; } }User.java package pojo; public class User { private String name; private int age; private Address address; public String getName() { return name; } public void setName(String name) { this.name = name; } public int getAge() { return age; } public void setAge(int age) { this.age = age; } public Address getAddress() { return address; } public void setAddress(Address address) { this.address = address; } public User() {} public User(String name, int age) { this.name = name; this.age = age; } }OGNL 使用 getValue() 方法来获取对象,并且访问对象当中的值,在后续的代码块当中,师傅们可以自行打断点进行调试,只是一些简单的 getter 与 setter 数据处理与赋值。 对 Root 对象的访问OGNL 使用的是一种链式的风格进行对象的访问。 所谓的链式编程,则是类似与 StringBuffer 的 append 方法的写法: StringBuffer buffer = new StringBuffer(); // 链式编程 buffer.append("aaa").append("bbb").append("ccc");对应的代码 VisitRoot.java public class VisitRoot { public static void main(String[] args) throws Exception{ User user = new User("Drunkbaby", 20); Address address = new Address("330108", "杭州市滨江区"); user.setAddress(address); System.out.println(Ognl.getValue("name", user)); // Drunkbaby System.out.println(Ognl.getValue("name.length()", user)); // 9 System.out.println(Ognl.getValue("address", user).toString()); // Address(port=330108, address=杭州市滨江区) System.out.println(Ognl.getValue("address.port", user)); // 330108 } }对上下文对象的访问 使用 OGNL 的时候如果不设置上下文对象,系统会自动创建一个上下文对象,如果传入的参数当中包含了上下文对象则会使用传入的上下文对象。 当访问上下文环境当中的参数时候,需要在表达式前面加上 ‘#’ ,表示了与访问 Root 对象的区别。 VisitContext.java public class VisitContext { public static void main(String[] args) throws Exception{ User user = new User("Drunkbaby", 20); Address address = new Address("330108", "杭州市滨江区"); user.setAddress(address); Map context = new HashMap(); context.put("init", "hello"); context.put("user", user); System.out.println(Ognl.getValue("#init", context, user)); // hello System.out.println(Ognl.getValue("#user.name", context, user)); // test System.out.println(Ognl.getValue("name", context, user)); // test } }对静态变量与静态方法的访问在 OGNL 表达式当中也可以访问静态变量或者调用静态方法,格式如 \@[class]@[field/method ()],猜测在后续的 S2 系列漏洞中会存在这种方式的攻击手法。 VisitStatic.java public class VisitStatic { public static String ONE = "VisitStatic Success"; public static void main(String[] args) throws Exception{ AtVisit(); } public static void AtVisit() throws OgnlException { Object object1 = Ognl.getValue("@com.drunkbaby.OGNLGrammar.VisitStatic@ONE", null); Object object2 = Ognl.getValue("@com.drunkbaby.OGNLGrammar.VisitContext@VisitContextMethod()", null); // hello、Drunkbaby、Drunkbaby System.out.println(object1); // 访问 static 的 ONE System.out.println(object2); // 访问 VisitContext 的 VisitContextMethod() 方法 } }此处存在一个很有意思的现象,在这句语句执行的时候,会多返回一个 null Object object2 = Ognl.getValue("@com.drunkbaby.OGNLGrammar.VisitContext@VisitContextMethod()", null);实际上 object2 那里是不会得到返回值的,因为 VisitContextMethod() 方法是一个 void 方法,但是通过这一点,能明确的看到,在调用 getValue() 调用任意静态方法的时候,是和反射一样存在攻击面的,不过比较窄。 方法的调用如果需要调用 Root 对象或者上下文对象当中的方法也可以使用 . 方法的方式来调用。甚至可以传入参数。就和正常的方法调用是一样的。 赋值的时候可以选择上下文当中的元素进行给 Root 对象的 name 属性赋值。 MethodCall.java public class MethodCall { public static void main(String[] args) throws Exception{ User user = new User(); Map context = new HashMap(); context.put("name", "Drunkbaby"); context.put("password", "password"); System.out.println(Ognl.getValue("getName()", context, user)); // null Ognl.getValue("setName(#name)", context, user); System.out.println(Ognl.getValue("getName()", context, user)); // Drunkbaby } }对数组和集合的访问OGNL 支持对数组按照数组下标的顺序进行访问。此方式也适用于对集合的访问,对于 Map 支持使用键进行访问。 public class VisitMaps { public static void main(String[] args) throws Exception{ User user = new User(); Map context = new HashMap(); String[] strings = {"aa", "bb"}; ArrayList list = new ArrayList(); list.add("aa"); list.add("bb"); Map map = new HashMap(); map.put("key1", "value1"); map.put("key2", "value2"); context.put("list", list); context.put("strings", strings); context.put("map", map); System.out.println(Ognl.getValue("#strings[0]", context, user)); // aa System.out.println(Ognl.getValue("#list[0]", context, user)); // aa System.out.println(Ognl.getValue("#list[0 + 1]", context, user)); // bb System.out.println(Ognl.getValue("#map['key1']", context, user)); // value1 System.out.println(Ognl.getValue("#map['key' + '2']", context, user)); // value2 } }从上面代码不仅看到了访问数组与集合的方式同时也可以看出来 OGNL 表达式当中支持操作符的简单运算。有如下所示: 2 + 4 // 整数相加(同时也支持减法、乘法、除法、取余 [% /mod]、) "hell" + "lo" // 字符串相加 i++ // 递增、递减 i == j // 判断 var in list // 是否在容器当中投影与选择OGNL 支持类似数据库当中的选择与投影功能。 投影:选出集合当中的相同属性组合成一个新的集合。语法为 collection.{XXX},XXX 就是集合中每个元素的公共属性。 选择:选择就是选择出集合当中符合条件的元素组合成新的集合。语法为 collection.{Y XXX},其中 Y 是一个选择操作符,XXX 是选择用的逻辑表达式。 选择操作符有 3 种: ? :选择满足条件的所有元素 ^:选择满足条件的第一个元素 $:选择满足条件的最后一个元素说是投影与选择,实际上更像是元素截图,类似于 substr 这种。 public class SelectorAndProjection { public static void main(String[] args) throws Exception{ User p1 = new User("name1", 11); User p2 = new User("name2", 22); User p3 = new User("name3", 33); User p4 = new User("name4", 44); Map context = new HashMap(); ArrayList list = new ArrayList(); list.add(p1); list.add(p2); list.add(p3); list.add(p4); context.put("list", list); System.out.println(Ognl.getValue("#list.{age}", context, list)); // [11, 22, 33, 44] System.out.println(Ognl.getValue("#list.{age + '-' + name}", context, list)); // [11-name1, 22-name2, 33-name3, 44-name4] System.out.println(Ognl.getValue("#list.{? #this.age > 22}", context, list)); // [User(name=name3, age=33, address=null), User(name=name4, age=44, address=null)] System.out.println(Ognl.getValue("#list.{^ #this.age > 22}", context, list)); // [User(name=name3, age=33, address=null)] System.out.println(Ognl.getValue("#list.{$ #this.age > 22}", context, list)); // [User(name=name4, age=44, address=null)] } }创建对象OGNL 支持直接使用表达式来创建对象。主要有三种情况: 构造 List 对象:使用 {}, 中间使用 ‘,’ 进行分割如 {"aa", "bb", "cc"}构造 Map 对象:使用 #{},中间使用 ‘, 进行分割键值对,键值对使用 ‘:’ 区分,如 #{"key1" : "value1", "key2" : "value2"}构造任意对象:直接使用已知的对象的构造方法进行构造。public class CreateClass { public static void main(String[] args) throws Exception{ System.out.println(Ognl.getValue("#{'key1':'value1'}", null)); // {key1=value1} System.out.println(Ognl.getValue("{'key1','value1'}", null)); // [key1, value1] System.out.println(Ognl.getValue("new com.drunkbaby.pojo.User()", null)); // User(name=null, age=0, address=null) } }不论是之前的调用静态方法,还是现在的创建对象,都是很有攻击面的存在。弹计算器的 EXP public class EvilCalc { public static void main(String[] args) throws OgnlException { Ognl.getValue("new java.lang.ProcessBuilder(new java.lang.String[]{\"calc\"}).start()", null); } }0x05 OGNL 表达式小结表达式功能操作清单: 1. 基本对象树的访问 对象树的访问就是通过使用点号将对象的引用串联起来进行。 例如:xxxx,xxxx.xxxx,xxxx. xxxx. xxxx. xxxx. xxxx 2. 对容器变量的访问 对容器变量的访问,通过#符号加上表达式进行。 例如:#xxxx,#xxxx. xxxx,#xxxx.xxxxx. xxxx. xxxx. xxxx 3. 使用操作符号 OGNL表达式中能使用的操作符基本跟Java里的操作符一样,除了能使用 +, -, *, /, ++, --, ==, !=, = 等操作符之外,还能使用 mod, in, not in等。 4. 容器、数组、对象 OGNL支持对数组和ArrayList等容器的顺序访问:例如:group.users[0] 同时,OGNL支持对Map的按键值查找: 例如:#session['mySessionPropKey'] 不仅如此,OGNL还支持容器的构造的表达式: 例如:{"green", "red", "blue"}构造一个List,#{"key1" : "value1", "key2" : "value2", "key3" : "value3"}构造一个Map 你也可以通过任意类对象的构造函数进行对象新建 例如:new Java.net.URL("xxxxxx/") 5. 对静态方法或变量的访问 要引用类的静态方法和字段,他们的表达方式是一样的@class@member或者@class@method(args): 6. 方法调用 直接通过类似Java的方法调用方式进行,你甚至可以传递参数: 例如:user.getName(),group.users.size(),group.containsUser(#requestUser) 7. 投影和选择 OGNL支持类似数据库中的投影(projection) 和选择(selection)。 投影就是选出集合中每个元素的相同属性组成新的集合,类似于关系数据库的字段操作。投影操作语法为 collection.{XXX},其中XXX 是这个集合中每个元素的公共属性。 例如:group.userList.{username}将获得某个group中的所有user的name的列表。 选择就是过滤满足selection 条件的集合元素,类似于关系数据库的纪录操作。选择操作的语法为:collection.{X YYY},其中X 是一个选择操作符,后面则是选择用的逻辑表达式。而选择操作符有三种: ? 选择满足条件的所有元素 ^ 选择满足条件的第一个元素 $ 选择满足条件的最后一个元素 例如:group.userList.{? #txxx.xxx != null}将获得某个group中user的name不为空的user的0x06 参考资料https://jueee.github.io/2020/08/2020-08-15-Ognl%E8%A1%A8%E8%BE%BE%E5%BC%8F%E7%9A%84%E5%9F%BA%E6%9C%AC%E4%BD%BF%E7%94%A8%E6%96%B9%E6%B3%95/ |
今日新闻 |
推荐新闻 |
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 |