struts2反序列化漏洞复现

Struts2反序列化漏洞是一种安全漏洞，它影响了使用Apache Struts2框架的应用程序。该漏洞允许攻击者通过构造恶意的序列化数据来执行任意代码。 在Struts2中，请求参数可以通过OGNL（Object-Graph Navigation Language）表达式进行解析。攻击者可以构造一个特制的请求，其中包含恶意的序列化数据，当应用程序尝试解析该数据时，恶意代码将被执行。 这种漏洞的危害性很高，因为攻击者可以执行任意代码，从而完全控制受影响的应用程序。攻击者可以窃取敏感信息、修改数据、获取系统权限等。 为了防止Struts2反序列化漏洞，建议及时升级到最新版本的Struts2框架，并且在应用中遵循安全最佳实践，如输入验证和数据过滤。此外，限制应用程序所需的权限，并定期监测和审计应用程序的安全性也是很重要的措施。

### 反序列化漏洞复现方法与示例代码分析 #### 1. PHP反序列化漏洞的工作原理 PHP反序列化漏洞的核心在于攻击者可以提供恶意构造的数据，在目标程序将其反序列化时触发特定的行为。这种行为通常依赖于对象的魔术方法（如`__wakeup()`或`__destruct()`），这些方法会在反序列化过程中自动调用。 当一个被污染的对象实例化并执行某些逻辑时，可能会导致命令执行或其他危险的操作[^2]。 --- #### 2. 示例代码：基本的PHP反序列化漏洞复现 以下是基于PHP的一个简单反序列化漏洞案例： ```php <?php class VulnerableClass { public $command; function __destruct() { if ($this->command) { echo "Executing command: " . $this->command; shell_exec($this->command); // 执行系统命令 } } } // 正常情况下，序列化该对象 $object = new VulnerableClass(); $object->command = 'whoami'; // 设置要执行的命令 $serialized = serialize($object); echo "Serialized object: " . $serialized . "\n"; // 攻击者可以通过修改序列化字符串来注入恶意命令 $malicious_serialized = 'O:14:"VulnerableClass":1:{s:7:"command";s:9:"touch /tmp/pwned";}'; $deserialized_object = unserialize($malicious_serialized); ?> ``` 上述代码展示了如何通过篡改序列化字符串实现远程命令执行。攻击者能够控制`$command`属性的内容，并在反序列化时触发`shell_exec()`函数运行指定命令。 --- #### 3. Java反序列化漏洞的复现过程 Java中的反序列化漏洞同样常见，尤其是在处理来自不可信来源的数据时。以下是一个简单的Java反序列化漏洞示例： ```java import java.io.*; public class SerializableExample implements Serializable { private static final long serialVersionUID = 1L; transient String command; // 使用transient修饰符忽略字段序列化 private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException { ois.defaultReadObject(); // 默认读取机制 Runtime.getRuntime().exec(command); // 自动执行命令 } public static void main(String[] args) throws Exception { SerializableExample obj = new SerializableExample(); obj.command = "calc.exe"; // Windows计算器作为测试命令 ByteArrayOutputStream bos = new ByteArrayOutputStream(); ObjectOutputStream out = new ObjectOutputStream(bos); out.writeObject(obj); // 序列化对象 byte[] bytes = bos.toByteArray(); ByteArrayInputStream bis = new ByteArrayInputStream(bytes); ObjectInputStream in = new ObjectInputStream(bis); in.readObject(); // 反序列化会触发readObject方法 } } ``` 在这个例子中，`readObject()`方法会被自定义实现以完成恶意操作。如果输入数据未经过严格校验，则可能导致任意代码执行[^1]。 --- #### 4. 防护措施建议 为了防止此类漏洞的发生，开发者应采取如下策略： - **验证输入数据**：始终对用户提交的数据进行严格的过滤和验证，推荐使用内置的安全库如`filter_input()`或`filter_var()`[^3]。 - **禁用不必要的功能**：移除项目中不再使用的类及其相关的方法。 - **白名单模式**：仅允许已知安全类型的对象参与序列化/反序列化进程。 --- ####