struts2远程执行漏洞学习（三）

        这个是终结部分了。

    除了#_memberAccess.allowStaticMethodAccess'是一个关键属性外，'xwork.MethodAccessor.denyMethodExecution’是另一个关键属性，意义如同名字，这个属性决定了是否可以执行方法，只有当这个属性为false时，我们才可以利用ognl自定义变量，调用一些关键的方法 例如FileWriter的append方法。

   

     xwork.MethodAccessor.denyMethodExecution和#_memberAccess.allowStaticMethodAccess'的区别在于#_memberAccess.allowStaticMethodAccess'是一个context中的属性，而xwork.MethodAccessor.denyMethodExecution则是value hashmap中的一项，这就决定了对这个变量的覆盖不同于上一个方法。

如果采用第一种方法去覆盖的话，查看内存中，xwork.MethodAccessor.denyMethodExecution=java.lang.StringXXX大概是个这么个东西

而我们希望的是覆盖完变成

xwork.MethodAccessor.denyMethodExecution=false这样的形式

 

 

解决方案：

&(b)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(b))

实际上就是

#context['xwork.MethodAccessor.denyMethodExecution']=false

放到了一个ast的树枝中，注意，要放到第三层，才能保证解析正确

 

 

这个是有人给出的解决方案。http://www.tengsu.com/school/top/2011/school_4595_4.html

 

同样他指出了在xwork 2.1.2.jar中存在bug，大家可以看看他的文章，最终他给出了解决思路，就是在不利用静态方法的情况下，想办法覆盖掉 excludeProperties

 

同样这个不能采用和第一个一样的方法覆盖，那样只能得到字符串。应采用和第二个类似的方法覆盖掉

 

我就直接放答案了，大家可以自己试试，这个只有在xwork2.1.2中才必须加上这句，以后版本加了也不算错，不过没什么效果

&('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c))